微軟強化Visual Studio 2019遠端除錯以及Azure IoT裝置設定服務的支援，此外，還發布了一個移植工具iotedge-compose，讓開發者可將基於Docker Compose建立的應用程式移植到Azure IoT Edge上。

Visual Studio 2019的16.3版本改善了Linux Docker容器的遠端除錯功能，開發者可以使用這個除錯功能，為通用容器除錯，微軟提到，這項除錯功能，在Azure IoT Edge模組情境中，開發人員可以遠端為Azure IoT Edge C# Linux模組容器除錯。

Visual Studio中的Cloud Explorer，現在支援Azure IoT Hub裝置設定服務，開發者可以直接在Visual Studio中，進行Azure IoT裝置的設定。Azure IoT Hub裝置設定服務是Azure IoT Hub的幫助服務，可在不需要人工介入的情況下，進行零接觸且即時地設定Azure IoT Hub，讓企業能夠安全地配置數百萬個裝置。

而開發者現在還可以簡單地將Docker Compose專案，轉換成Azure IoT Edge解決方案。Docker Compose是可以用來定義和執行多容器Docker應用程式的工具，微軟現在提供iotedge-compose工具，這是一個Python開發的CLI工具，只要透過pip安裝，就能快速地轉換Compose專案成Azure IoT Edge解決方案。

熱門的郵件伺服器元件Exim上周修補編號為CVE-2019-15846的安全漏洞，將允許駭客自遠端執行任意程式，並被列為高風險的重大漏洞。

Exim為一開源的郵件傳輸代理程式（Mail Transfer Agent，MTA），主要被應用在Unix類型的作業系統上，根據E-Soft今年8月的估計，全球可公開存取的郵件伺服器中，約有57%採用Exim，數量大約是50萬台。

Exim團隊說明，CVE-2019-15846是個堆積緩衝區溢位漏洞，存在於string.c中，已知的開採可利用非常長的EHLO字串，來摧毀接收該訊息的Exim程序，正當Exim放棄其特權的時候，也許有其它途徑可觸及有漏洞的程式碼，因而有機會執行遠端程式。

該漏洞波及Exim 4.92至4.92.2版本，用戶只有升級到4.92.3一途才能解決該漏洞，並沒有其它的暫時補救措施。這其實只是一個簡單的錯誤，Exim團隊只用了一行程式就修好了，也幸好尚未傳出任何災情。

Exim在今年6月及9月都曾傳出嚴重的遠端程式攻擊漏洞，且駭客在漏洞公布後的一周後便展開攻擊，意謂著儘快更新才是上策。

AWS推出了一個稱為AWS IQ的全新支援平臺，可讓用戶直接與AWS認證的第三方專家聯繫，以獲得更完整技術支援，而獲AWS認證的人也可以申請成為AWS IQ專家，為提出請求的使用者提供收費服務。

AWS IQ可以解決問題的範圍，包括了為每項工作負載選擇適當的架構、最佳化工作負載，或是設定AWS等一般問題，都可以透過AWS IQ獲得解答，官方提到，AWS IQ服務對於各種規模的企業都有幫助，但中小型的企業會感到特別有用。AWS IQ與AWS帳戶、帳單整合一起，當企業使用專家服務，則可以授予專家存取使用者帳戶的權限，並同時進行監視以及控制，且按專案進度付款給專家。

使用者可以在AWS IQ控制臺，開始一項新的請求，AWS提供了五項請求類別，分別是學習AWS、計畫AWS專案、設定AWS服務、搬遷至AWS以及評估與最佳化AWS花費，底下使用者可以填寫請求的標題，並詳細描述請求的內容。這個請求會分享給專家們，專家能以提案回應這份請求，而使用者可以在控制臺查看回應，並且控制是否繼續接收新的回應。

使用者在收到專家回應的提案後，可以透過文字與影片與專家討論，最終決定是否接受專家的提案，當用戶接受了提案，AWS IQ便會幫助雙方建立合約。專家可以在之後請求存取用戶的AWS帳戶，待用戶審核同意後，就能夠以特定身分登入AWS管理控制臺。在專案進行到一個階段後，專家可以提出支付請求，用戶批准後便能以AWS帳戶進行付款。

現階段擁有AWS認證且居住在美國，具有美國銀行帳戶與稅務資訊的人，都可以申請成為AWS IQ專家，而待申請批准之後，就能夠在AWS IQ平臺上尋找相關的請求，並回覆這些問題。

企業級Kafka串流服務供應商Confluent Cloud，現推出Apache Kafka即服務免費試用，讓企業能夠在雲端開始使用Kafka無伺服器服務，建立資料串流工作負載。官方提到，使用無伺服器Kafka服務，可以不需要擔心系統維護問題，Confluent Cloud提供SLA保證99.95％的正常運作時間。

Confluent Cloud簡化了服務收費方式，每GB流入與流出的資料都為0.11美元起，每月每GB儲存的資料留存費用則為0.1美元，而Broker或ZooKeeper這種固定的基礎架構元件，Confluent Cloud則不另外收取費用。Confluent Cloud為新註冊的使用者，前三個月提供每月50美元的使用額度，用戶可以在任何雲端平臺開始使用Apache Kafka服務，包括AWS、Azure以及GCP。

Apache Kafka是一個分散式的串流平臺，分離資料產出以及資料接收的角色，採用發布和訂閱架構，使用者可利用Apache Kafka連續捕捉串流事件、交易、物聯網事件或是日誌等資料，進行即時分析或是資料處理後，派送到其他資料湖泊與資料庫中。

Apache Kafka原為LinkedIn所開發，而後在2011年開源，在2012年從Apache孵化器畢業，原本在LinkedIn中開發Apache Kafka的工程師，2014年離開LinkedIn成立了Confluent，並專注於開發Apache Kafka。

有鑒於仍有為數眾多的企業使用Windows 7尚未轉換到Windows 10，微軟周二宣佈Windows 7付費延伸支援服務，現在擴及中小企業用戶。

Windows 7的延伸支援即將在2020年1月14日終止，Office 2010的支援也即將於稍後截止。為了讓企業用戶在大限之後，仍能獲得Windows 7的安全修補程式，微軟提供了Windows 7延伸安全更新（Extended Security Update，ESU），在2023年1月以前，可依電腦台數付費購買安全修補更新。微軟指出，考量到企業部署Windows 10的步調不一，這項服務原本只提供給購買大量授權（Volume Licensing）方案的Windows 7 專業／企業版用戶，現在將提供給所有企業。

從12 月1日起，任何擁有Windows 7專業及企業版本的企業用戶都可以透過雲端解決方案供應商（Cloud Solution Partner）購買ESU方案。

Windows 7 延伸支援並不便宜，而且從2020年到2023年逐年調高價格。針對Windows 企業版及Microsoft 365用戶，第1年每台裝置收費25美元、第2年50美元，第3年再加到100美元。微軟付費Windows 7延伸安全更新服務到2023年1月。至於Windows 7專業版，前三年支援分別為每台裝置50、100和200美元。

即使Windows 7支援只剩下不到3 個月，但企業仍然不願或無力升級到Windows 10。根據安全廠商卡巴斯基（Kaspersky Labs）的估計，有超過4成企業依然使用已終止支援或即將過期的Windows版本，包括Windows 7、Vista及XP。

而市調公司GlobalStats的數據顯示，截至今年8月，全球使用Windows 10的Windows電腦比例來到60.7%，但還有29.4%的電腦跑Windows 7，居第二位。

0928-1004

 螞蟻金服   區塊鏈   跨鏈  
螞蟻區塊鏈發布跨鏈產品ODATS，提供多類區塊鏈平臺的異構鏈互通
螞蟻金服副總裁蔣國飛，在9月底於杭州舉辦的雲棲大會螞蟻區塊鏈生態峰會上，揭露了螞蟻區塊鏈的進展，以及下一步的區塊鏈生態戰略。蔣國飛指出，螞蟻區塊鏈至今已成功為合作夥伴、企業客戶落地了超過40個商業應用場景，包括了跨境匯款、供應鏈金融、智慧住房租賃平臺、醫療保險理賠、電子票據、公益慈善、商品溯源等。

他更表示，區塊鏈將建構信任機制的基礎設施，未來，「上鏈量，將成為衡量數位經濟水準的重要指標。」蔣國飛說明，螞蟻區塊鏈是自行研發的金融級區塊鏈引擎，技術上能支持10億帳戶規模，每日能支持10億次交易，並可做到每秒10萬筆以上的跨鏈資訊處理（PPS）。

螞蟻金服區塊鏈平臺部技術總監張輝，同場發布跨鏈產品ODATS（Open Data Access Trusted Service），他表示，「跨鏈將是萬鏈互聯的基礎」，螞蟻區塊鏈要透過ODATS，建構跨鏈通訊的基礎設施。在跨鏈技術上，張輝指出，ODATS會支援通用程式語言，並提供多類區塊鏈平臺的異構鏈互通。

 彰化銀行   開放銀行   Open API  
百年彰銀揭露自家Open Banking發展重點

彰化銀行在近日，揭露自家開放銀行（Open Banking）發展進程與未來策略。作為財金公司「開放API開發者平臺」首波上架的銀行之一，彰銀表示，他們已合作TSP業者麻布記帳，進行金融資訊整合，預計9月底民眾就能在麻布記帳App查詢彰銀臺幣、外幣存款利率與匯率等資訊。未來，彰銀也會配合財金公司時程，逐步提供第二階段「消費者資訊查詢類」與第三階段「交易面資訊」Open API的項目。

彰銀也透露，未來自家的開放銀行策略，將會積極尋求異業合作，除了拓展以開放的API服務對象，未來將合作財金公司與政大金融科技中心，打造開放API生態系。彰銀表示，可再結合證券、保險、金融科技、電信、帳單與電商業者，透過跨業合作加速FinTech創新。

然而，早在臺灣這波開放銀行的風潮前，彰銀就已開放出自家API讓外部串接。彰銀表示，截至今年已發展140支API，類型涵蓋收單、支付、繳費稅、供應鏈金融、餘額與交易明細資料查詢、身分驗證等。

 螞蟻區塊鏈   開放聯盟鏈   Dapp發布平臺  
螞蟻區塊鏈將對開發者社群開放聯盟鏈，12月上線Dapp發布平臺

螞蟻金服資深總監、螞蟻區塊鏈BaaS（Blockchain as a Service）平臺負責人李杰力，在一場阿里巴巴自家活動上，發布了新計畫「全民熱鏈」，要透過開放來打造區塊鏈多元生態。這項計畫，除了前期的升級合作夥伴計畫，以及開放服務市場之外，另一大重點即是今年11月7日，螞蟻區塊鏈將上線針對開發者社群的開放聯盟鏈，12月12日則預計上線Dapp發布平臺。李杰力解釋，開放聯盟鏈的目的是要面對全球開發者、機構客戶，降低建鏈的門檻，支撐中小企業快速發展。

 金管會   南山人壽   境界成就計畫  
金管會重罰南山人壽3千萬元更要董事長停職，直指境界成就計畫3項缺失

南山人壽「境界成就計畫」，斥資百億元與SAP合作打造的新資訊系統，自去年9月上線後狀況頻頻，南山人壽處理未果，金管會在9月17日開鍘，南山人壽董事長杜英宗遭金管會停職、南山人壽也被重罰3,000萬元，此外，金管會也下令南山人壽停止投資型保險商品新契約業務，直到投資型保險商品資訊系統改善完成。

金管會裁罰結果，南山人壽有3項缺失。一是專案控管缺失，南山人壽境界專案未建立內控內稽制度，內部稽核監督功能不彰，且未確實執行系統開發、程式修改及測試程序的控制作業及辦理重大偶發通報。二是採購控管作業缺失，金管會指出，南山人壽董事會與審計委員會決策境界專案過程，並未發揮治理監督責任且未考量商業模式改變的影響。三是財務控管作業缺失，金管會提到，南山人壽帳務錯誤，情節重大且有礙健全經營。

 玉山銀行   Mobile ID   Open API  
玉山銀導入行動身分識別服務，跨境網購能用手機號碼驗身分

玉山銀行合作TWID身分識別中心，推出Mobile ID行動身分識別服務，提供玉山銀電子支付會員，在進行玉山跨境e指購時，可藉由行動電話門號來加強實名身分認證，玉山銀行信用卡暨支付金融事業處副總經理劉美玲表示，運用Mobile ID行動身分識別服務，具有行動化、免臨櫃辦理及跨業別整合等特點，是加強身分認證的重要基礎工程，也是電子支付的新里程，未來還可運用在數位金融、開放銀行等領域，預期將帶動更多創新的服務與商業模式。

玉山銀行此次導入Mobile ID行動身分識別，提供跨境網購註冊電子支付會員、變更會員資料或提升交易額度時，可以直接在線上輸入行動電話門號，透過電信業者確認門號持有人身分，再搭配國民身分證資料，即可完成實名認證。

此外，玉山銀行也揭露自家在開放銀行的進程，玉山銀是財金「開放API開發者平臺」首波開放公開資料查詢的金融機構之一，玉山銀表示，目前顧客可在麻布記帳App查詢玉山銀行臺幣、外幣存款利率及匯率報價等資訊。而玉山銀本身提供的API，則包括「帳戶扣款」、「生活繳費」、「即時綁卡」等。

 螞蟻區塊鏈   Hyperledger 
螞蟻區塊鏈前進全球，將與Hyperledger跨鏈合作

螞蟻金服發布了最新區塊鏈生態戰略．找來了Hyperledger（超級帳本）亞太區副總裁Julian Gordon共同宣布，螞蟻區塊鏈將透過與Hyperledger跨鏈合作，推進區塊鏈生態互聯互通，提供多樣性的技術服務。阿里巴巴將成為亞太區首家、全球第二家超級帳本認證服務供應商（HCSP）。同時，螞蟻金服也在9月25日，正式與德國拜耳農業部門簽署合作意向書，要打造食物和農業供應鏈的區塊鏈應用。

 Kik   Kin加密貨幣  
Kik將關閉傳訊程式，專心發展Kin加密貨幣
Kik Interactive宣布，將關閉曾經在美國風靡一時的即時傳訊程式Kik，全力衝刺新闢的Kin加密貨幣市場。Kik是在2017年轉向新興的區塊鏈技術，發行1兆個Kin加密貨幣，並透過首次代幣發行（ICO）對外募資1億美元。然而，美國證券交易委員會（SEC）在今年6月提出訴訟，宣稱Kik的ICO活動並未向SEC註冊，屬於違法行為，要求美國法院頒布永久禁令並處以罰款。

Kik執行長Ted Livingston表示，在與SEC斡旋了18個月之後，他們的選擇只有承認Kin為證券，或者是上法庭辯論此事，他們選擇了後者。只是，在法庭上的長期抗戰可能會消耗Kik的資源，與其選擇出售手上所持有的Kin，他們決定重新整頓內部資源以減少開支，包括關閉Kik程式，裁撤上百名員工，只留下19名員工，未來將只專注如何把Kin用戶變成Kin買家。

圖片來源：阿里巴巴； 攝影／洪政偉、李靜宜
責任編輯／李靜宜
 金融科技近期新聞 
1. 第一銀行取得SWIFT gpi服務認證，將可提高跨境匯款速度、透明度及可追蹤性
資料來源：iThome整理，2019年10月

快遞及貨運大廠UPS周二宣佈旗下子公司UPS Flight Forward獲得美國主管機關許可，將成立第一支無人機航空，一開始鎖定醫療用品遞送，未來也計畫跨足其他產業運輸服務。

UPS將把現有無人機服務機隊擴大到全國，以提供全美各醫院院區之間的醫療品運輸，之後再擴及健康照護業其他單位。

UPS子公司是在取得美國聯邦航空總署（FAA）獲頒Part 135標準認證後，得以擴編機隊。這張認證是美國最高階的認證，對飛行機隊大小或營運規模不會設限，因此UPS Flight Forward可投入無數量限制的無人機及控管人員提供服務。此外，此一標準也允許UPS無人機及貨機不再受55磅（約25公斤）的載重限制，也可夜間飛行。

今年三月UPS和無人機業者Matternet 合作，在北卡羅萊納州推出該公司首個醫療檢體無人機快遞服務，首家客戶是雷利市（Raleigh）的WakeMed醫院。

未來UPS Flight Forward除了將無人機快遞服務擴大到新客戶外，也將打造地面偵測及迴避（Detect and Avoid，DAA）技術、中央控制中心，並增加操控員視線（Visual Line of Sight，VLOS）外的無人機航班。此外UPS也計畫找其他無人機業者，並跨出健康照護業，提供特殊品或管制品的遞送服務。

碩網資訊（Intumit）昨（1日）發不一套企業級AI助理解決方案SmartWork，這款聊天機器人是由1萬多筆資料和自家改良的SmartBERT模型訓練而成，將以應用程式的形式，提供在微軟協同社群平臺Teams上，供企業客戶下載使用。SmartWork不只能針對企業內部文書作業處理（如Microsoft 365應用程式）等提供疑難雜症解答，碩網還進一步提供客製化服務，將AI助理與企業內部的ERP、客戶管理系統和訂單系統串接，扮演IT Help Desk角色，來處理內部員工請假差勤、IT設備使用、預約會議以及餐點訂送等問題。

碩網資訊技術長江明洋表示，碩網20多年來專攻自然語言處理服務，自2013年開始發展自家核心AI引擎，首先自行開發了中文斷詞工具，然後發展詞向量生成，今年則利用自然語言界公認表現最好的BERT模型，開發出自家的SmartBERT模型，來打造這次導入微軟Teams的AI助理SmartWork。SmartWork利用了微軟Office資料庫中的問答集、技術社群和支援文件、使用者行為等資料訓練而成，資料量達1萬多筆，可支援中、英、日等三種語言。

小至Office軟體疑難雜症，大至IT問題、請假差勤、會議預約都包辦

江明洋也在現場示範SmartWork可應用的場景，首先是解決Office辦公軟體的疑難雜症。使用者可透過系統導引的方式來點選問題，或是透過打字、語音方式來輸入問題，比如O365 Excel的縮排異常，或是PowerPoint檔案縮圖異常等，系統就會顯示相對應的解答。

再來則是企業內部的IT相關問題，比如忘記網路密碼、信箱問題、電腦當機或特定IT流程，「也能客製化新增企業內特定的IT問題。」江明洋也指出，SmartWork除了能以文字回答，還能在回答中附上圖片、影片或超連結檔案，比如使用者遇到外部信件收發問題，AI助理就會告知需申請寄送外部郵件許可，並附上檔案下載連結（如下圖）。

接下來則是差勤、請假等問題，「這就是整合企業內部人資系統的範例。」使用者可透過SmartWork辦理請假手續，比如輸入「請假5天」，AI助理也會自動根據使用者是否還有特休，來提供請假類別的建議。而請假需求送出後，企業主管也會收到一份通知，來進行簽核（如下圖）。

最後一個場景範例，就是會議預約。江明洋指出，會議預約以表單形式在Teams上呈現，可讓使用者按步驟將會議時間、地點、參與者等資訊填妥後，再透過微軟Outlook郵件發送通知。不只如此，要是企業有員工餐廳或咖啡廳，SmartWork可串接內部訂單系統，在預約會議的同時，替與會人員準備茶水或餐點（如下圖）。

江明洋指出，SmartWork目前支援中文、英文和日文等三種語言，當AI助理無法回答問題時，可切換至真人來處理。此外，他也提到，由於SmartWork以龐大的SmartBERT模型為基礎，因此對硬體算力要求較高，必須透過更多GPU來進行模型的重新訓練（Retraining），或是透過Azure雲平臺來執行。而就使用層面來說，在臺灣已有金融業、製造業和教育界等率先導入，比如永豐銀行。

永豐銀行數位轉型之路，從Office 365和內部智能客服開始

永豐銀行資深副總經理暨資訊長蔡瑞庭指出，去年，永豐高層決定展開數位轉型，第一步要先從「改變員工行為」開始，特別是從員工的辦公方法著手。於是，今年，永豐銀開始導入微軟Office 365，也計畫汰換永豐全臺6千多臺PC，要全面採用Windows 10。

但在這個過程中，蔡瑞庭也意識到，自家內部的IT支援單位，每天都會接到數百通電話，「要是Office 365上線後，數量有可能翻倍，對IT單位來說負擔太大，」因此決定導入SmartWork，首先就是要提供各種Office 365的疑難雜症解答，再來要解決內部IT提問，最後則是達到更智能的資料呼叫功能，比如在董事會議上，透過智能客服來找出複雜報表中的特定欄位數值。

他也指出，SmartWork今年7月上線，IT同仁繼續進行系統客製化、強化背後資料庫，至於成效，「同仁回饋系統表現還不錯。」他也提到，當全臺PC汰換完成後，要將內部智能客服進一步往外擴散，來實踐數位轉型的第一步。文◎王若樸

新加坡政府周二宣佈啟動抓蟲計畫，請外界幫政府網站找漏洞。

這項漏洞揭露方案（Vulnerability Disclosure Programme）是由新加坡政府科技署（Government Technology Agency，GovTech）推出，由抓漏平台HackerOne代管，旨在鼓勵研究人員找出並通報存在於星國政府IT服務、系統、資源及流程中，可能影響政府網站app安全性的可疑漏洞或瑕疵。本方案涵蓋的對象，包括星國政府機關及法定機關的公開網站及手機應用、以及僅限公務員存取的政府網站等。

研究人員可在專案網站上通報找到的漏洞，提供漏洞描述、受影響的政府網站URL或IP、以及受影響軟體的版本和設定等。通報人還需提供找到漏洞的時間日期，以及自己的姓名及聯絡方式，以便政府確認事宜。

新加坡政府並提醒研究人員只能通報政府漏洞，不可對外公佈、或從事駭入或攻擊網站、存取、刪改、下載資料及系統設定，或是植入後門程式等非法行為。最後，這項計畫顯然希望研究人員做公益，並未提供任何獎金報酬。

一名Yahoo的前軟體工程師Reyes Daniel Ruiz在本周坦承，他在Yahoo工作期間，濫用職權駭入約6,000名Yahoo用戶的帳號，他只鎖定年輕女性，當中還不乏他的朋友與同事，然後複製她們的個人照片及影片。

現年34歲的Ruiz在Yahoo任職的時間長達11年，去年才到Okta上班。根據訴狀，Ruiz破解了約6,000名Yahoo用戶的密碼，同時入侵她們的iCloud、Facebook、Gmail、DropBox及其它服務的帳號，以搜尋她們的個人照片及影片，繼之複製這些內容並存放在自己的家中硬碟，一直到Ruiz的長官發現異常的帳號活動才被識破。

Ruiz已坦承上述罪行，正以20萬美元的保釋金交保候傳中，他被指控違反計算機入侵法案，最高可處5年刑期與25萬美元的罰金，還要加上賠償費，此案預計於明年2月宣判。

0926-1002一定要看的資安新聞

連網裝置安全、中華電信數據機

物聯網裝置攻擊頻傳，戴夫寇爾揭露中華電信數據機設置不當的漏洞

圖片來源／周峻佑攝

今年首度舉辦的DEVCORE Conference大會上，該公司資安研究員Orange Tsai（蔡政達）在最後一場議程中，揭露了中華電信網路數據設備中，因配置不當而能被濫用的漏洞，經通報後，對方已經透過韌體更新的方式，完成修補。

關於這次漏洞的發現，是因為該公司情資中心在7月底偵測到大量使用者的電腦，都開啟了3097連接埠，而引起他們注意。後續經過他們的研究，找出能夠下達任意指令的漏洞，再加上預設系統管理帳號root採用弱密碼等環節，而能控制網路數據機，利用命令注入攻擊手法，遠端存取數據機3097連接埠，進而滲透到內部網路，從中發動攻擊。更多內容

無檔案攻擊、離地攻擊

微軟揭露新的Nodersok無檔案攻擊行動

圖片來源／微軟

繼今年7月公布的Astaroth無檔案攻擊行動之後，微軟再公布新一波的Nodersok無檔案攻擊，駭客同樣利用合法工具展開攻擊，例如，系統內建的mshta.exe與powershell.exe，或者是自第三方網站下載的node.exe及Windivert.dll/sys，而且攻擊過程只於記憶體內執行，並沒有任何惡意的執行程式被寫入硬碟，目的是將受害系統變成代理人，以便執行點擊詐騙，估計已有數千臺Windows電腦遇害。更多內容

軟體漏洞

神祕人士將vBulletin零時差漏洞公布於網路上

圖片來源／擷取自vBulletin官方論壇

連NASA、Steam、EA都在用的商業論壇軟體vBulletin，遭人揭露存在驗證前遠端程式碼執行（pre-auth RCE）漏洞，其身分驗證可以被繞過而被取得平臺控制權限。

最近有匿名人士在網路社群Full Disclosure公布此漏洞，並指出攻擊者無需具備帳號，只要發送HTTP POST請求，就可以在vBulletin伺服器上執行指令，進而劫持論壇的網頁伺服器、竊取或刪改資料，或是對其他系統發動攻擊等。事隔兩天，在9月26日，vBulletin團隊已經緊急修補了該漏洞，並呼籲5.5.2、5.5.3及5.5.4版用戶更新至最新版本，同時提醒5.5.2以前版本的用戶應儘快升級。更多內容

VPN

Cloudflare正式推出免費VPN服務Warp

圖片來源／Cloudflare

今年4月，Cloudflare宣布將在其行動裝置App「1.1.1.1」中，加入名為Warp的VPN服務，而該項服務使用了新型VPN技術WireGuard，現在這個App正式釋出內建Warp的版本，Android或iOS用戶都可在應用程式商店下載。

Warp與傳統VPN的差異在於，並非針對想要完全隱藏身份的用戶設計，由於Warp不會對目標服務隱藏使用者的IP位址，因此無法讓用戶在使用Warp之後，存取地區限制的內容。Cloudflare表示，Warp主要讓用戶的流量在傳輸過程中獲得保護，有心人士無法進行窺探，使用者可以在公共場所中安全的使用網路，同時還能防止ISP業者收集用戶資料並轉銷售給廣告商。更多內容

郵件安全、微軟

微軟網頁郵件收發程式將擴大禁止38種檔案格式

微軟宣布將在Outlook for the Web的預設副檔名封鎖機制中，再增加38種檔案格式，包含Java、Python、PowerShell等檔案類型，受影響的產品包括Office 365、Exchange Online或Exchange Server。

微軟表示，為了確保客戶安全，Exchange團隊近日對現有封鎖檔案名單做了一番檢視，以確保能涵括現今有風險的檔案類型。經過調整，微軟在OwaMailboxPolicy物件中，對於BlockedFiletypes屬性所封鎖的對象，由現有104類增加38類，共142類。不過，微軟也指出，如果企業有下載需求且了解相關安全風險，IT管理員仍然可以在特定條件下，將特定副檔名加入白名單。更多內容

國家安全政策

美國通過協助組織對抗網路攻擊的法案

美國參議院最近通過了一項《國土安全部網路狩獵與資安事件應變法案》，將要求DHS的資安團隊協助政府及其他私人企業避免網路攻擊，在這些組織遭到攻擊時，也要協助緩解。這主要的考量，是基於網路威脅變得更普遍，但地方政府與私人企業在其網路安全的資源可能不足，因此現在美國將透過立法方式來要求。這項法案要求DHS必須設立網路狩獵與網路事件應變等兩個安全團隊，永久協助政府機關、重大基礎設施與私人企業來對抗網路攻擊，也要求相關團隊必須廣邀私人企業的安全專家，以提供非政府角度的專業意見。更多內容

iOS漏洞、硬體安全

研究人員宣稱多款iPhone晶片存在無法修補的Bootrom漏洞

代號為Axi0mX的安全研究人員對外宣布，他在蘋果所打造的晶片上，發現了Bootrom漏洞，將允許駭客取得iOS裝置的控制權，該漏洞波及A5到A11的晶片，等於是從iPhone 4S到iPhone X都受到影響，且只有變更硬體才能修補，而此漏洞將讓越獄（突破蘋果原廠iOS的限制）變得更容易。資安業者Malwarebytes Labs也表示，不只是iPhone，採用同樣晶片組的iPad、Apple Watch、Apple TV與iPod Touch，也都受到Bootrom漏洞的影響。更多內容

網站安全

遭受駭客攻擊！臺港蘋果日報App及網站服務受影響

圖片來源／擷取自香港蘋果日報臉書粉絲專頁

在9月28日早上，蘋果日報的App與網站驚傳服務異常，疑似遭到駭客入侵，雖然在3個小時後服務已經復原，其粉絲專頁上也證實這項消息，但尚未對外說明遭駭的入侵管道與是否有其他影響。

在當日11點34分，香港蘋果日報在粉絲專頁上發布訊息，公開說明了這項消息，指出「蘋果動新聞」手機App與網站疑遭受外來攻擊，導致部分讀者無法登入，臺灣的蘋果新聞網粉絲專頁也公布相關資訊。這起事件不僅是網站安全的議題，也影響到蘋果付費用戶的權益，也格外受到外界關注。更多內容

金融安全、SWIFT系統漏洞

國際匯款系統SWIFT漏洞被揭露，中華資安國際呼籲用戶注意修補

圖片來源／擷取自中華資安國際官網

全球金融機構通用的SWIFT系統，是銀行間交易資料交換的平臺，一旦發現系統相關漏洞，後果相當嚴重。在9月中旬，中華資安國際發出聲明，指出揭露SWIFT平臺的高風險弱點（CVE-2018-16386），CVSS 3.0評為7.5分，並建議仍在使用SWIFT 7.1.23以前版本的金融機關或企業，儘快聯繫廠商進行系統更新，若無法更新也應採取緩解措施與檢查。

關於這次漏洞的發現，是該公司在執行金融機構電腦系統資安評估過程中所發現。指出在SWIFT Alliance Web Platform 7.1.23版中存在Log Injection漏洞，若是攻擊者利用系統Error log功能，搭配其他的任意檔案引入弱點一起使用，就可能達成遠端執行指令碼攻擊。由於SWIFT系統敏感性較高，在去年他們通報此漏洞後，SWIFT開發廠商已經修補，而美國國家漏洞資料庫（NVD）直到2019年7月才公開發布，近期中華資安國際提醒用戶應儘速更新。更多內容

＃醫療安全　＃台大醫院

台大醫院驚傳駭客入侵，院方表示：已依規定通報，無資料外洩

圖片來源／洪政偉攝

九月底，台大醫院驚傳駭客入侵事件，國內多家媒體報導此事，指出疑似有資料外洩，並傳出院方列為三級資安事件，已經通報教育部與行政院，由行政院技術服務處協助調查。對此，我們向台大醫院詢問是否真有此事，他們的公共事務室管理師梁世箴出面回應，院方系統確實遭受到駭客攻擊，但沒有資料外洩情事發生。更多內容

＠更多資安動態
●微軟修補IE、Windows Defender重大漏洞，IE零時差漏洞已有攻擊程式
●DEFCON Voting Village：上百款投票機器都被研究人員攻陷
●研究人員發現鎖定SIM卡軟體的攻擊，WIBattack將可透過漏洞遠端控制手機
●國家級駭客鎖定美國的公用事業服務供應商展開魚叉式網釣攻擊
●微軟Windows 7付費延伸支援方案，開放中小企業購買
●【NIST網路安全框架當紅】彈性靈活易上手，連美國聯邦政府都全面採用
 

Google的Vision AI系列服務現在新增了幾項增強功能，其邊緣視覺辨識服務AutoML Vision Edge不只能夠進行圖像分類，還能夠在邊緣裝置進行物體偵測，而AutoML Video也開始提供物體追蹤功能，另外，Video Intelligence API多了可以追蹤熱門商標的能力。

企業在具有感測器以及攝影機的邊緣裝置上部署機器學習模型，可以有效地檢測異常或是預測設備維護狀況，在今年四月的時候，Google發表了AutoML Vision Edge服務，讓企業可以在訓練、建置，並在邊緣裝置部署機器學習模型，進行圖像分類的工作。

現在AutoML Vision Edge不只具有圖像分類的能力，更多了物體偵測功能，在零售業的應用上，能夠用來快速偵測輸送帶貨物的瑕疵，或是估量貨架上的庫存。Google提到，AutoML Vision Edge經過最佳化，僅需占用少量的記憶體，且廣泛支援各類型包括採用Android與iOS作業系統的硬體裝置。

而可讓開發人員自定義模型，以自定義的標籤為影片內容分類的AutoML Video服務，在這次的更新，Google也為其添加了物體偵測功能，能在影格追蹤多個物體的移動，官方提到，這項服務可應用在交通管理、體育分析或是機器人導航等應用程式。

另外，Video Intelligence API應用預訓練機器學習模型，可以辨識串流影片中的大量物體、場景和動作，而現在還多了商標辨識功能，能追蹤企業和組織的標誌，現在影片智慧商標辨識功能可以辨識超過十萬個商標。

幾名德國的大學研究人員近日發表一篇研究報告，指稱PDF的加密標準含有缺陷，將讓駭客得以取得加密文件內容，研究人員總計列出了兩類的6種攻擊形式，並說坊間的27款桌面或網路PDF程式，都至少會被其中一種攻陷。

存在於PDF加密標準的缺陷被統稱為PDFex，一來PDF的規格允許加密檔案混合密文與明文，支援部份加密，二來它所採用的密碼塊鏈接（Cipher Block Chaining，CBC）加密模式缺乏完整性檢查，因而可導致Direct Exfiltration與CBC Gadgets兩種類型的攻擊。

其中，Direct Exfiltration指的是駭客更改加密PDF檔案的結構，添加未加密的惡意物件，使得收件者在收到加密檔案，並將其解密之際，惡意物件就會將解密的內容傳送給駭客。這些惡意物件或攻擊手法可能是PDF格式、超連結或JavaScript。

對於不接受部份加密文件的PDF閱讀程式，則可採用CBC Gadgets類型的攻擊方法，它是利用各種CBC工具來汲取並竄改加密物件中的明文，目的同樣是在對方解密並開啟加密的PDF檔之後，將它傳遞給駭客，可利用PDF格式（PDF Forms）、超連結或ObjectStreams等功能展開攻擊。

不管是執行Direct Exfiltration或CBC Gadgets攻擊，駭客都不需要知道或猜測加密PDF檔案的密碼，而是透過中間人攻擊，竄改加密的PDF檔案，就能在收件方開啟檔案時收到副本。

而研究人員所測試的27款PDF閱讀程式中，沒有一款能夠倖免於難，都至少會被其中一種攻擊方式攻陷，這些程式涵蓋了Adobe Acrobat、Foxit Reader、Okular、Evince、Nitro Reader，以及整合到Chrome、Firefox、Safari與Opera等瀏覽器的閱讀工具。

資安業者Emsisoft本周公布了美國今年前三季的勒索軟體調查報告，此一調查只針對遭遇到勒索軟體攻擊的美國政府機構、學區及醫療服務供應商所進行的統計，顯示這9個月以來，至少有621個組織遭到勒索軟體攻擊。

當美國各州、城市或郡遭到勒索軟體攻擊時，很容易就會躍上新聞版面，但在今年遭到攻擊的621個組織中，只有68個為政府機關。例如佛州Lake City今年6月感染了Ryuk勒索軟體，支付了46萬美元的贖金；美國麻薩諸塞州新貝福市（New Bedford）今年7月也被勒索軟體攻擊，駭客獅子大開口要求530萬美元的贖金，該市拒絕了駭客的要求，且估計復原成本只要100萬美元。

而今年受到勒索軟體影響的學區則有68個，約涉及1,051所學校及大學。其中，擁有7所學校的Rockville Centre School District在今年7月遭到勒索軟體攻擊，駭客要求17.6萬美元的贖金，討價還價的結果以8.8萬美元成交；被16所學校圍繞的Moses Lake School District同樣在7月遭到攻擊，駭客提出了100萬美元的贖金，結果被拒絕。

至於受災最嚴重的應該是健康醫療領域，因為該領域在今年以來已遭遇491起勒索軟體攻擊，受害者包括Park DuValle社區醫療保健中心、牙科診所的雲端備份供應商PerCSoft，以及懷俄明州坎培爾郡的公共衛生部門。

根據Emsisoft的觀察，有愈來愈多駭客鎖定託管服務供應商或第三方服務供應商，因為一次攻擊就能同時摧毀許多受害者，例如德州在今年8月遭到勒索軟體攻擊，同時波及了22個市鎮。

此外，駭客所要求的贖金也愈來愈高，假設受害者願意支付50萬美元的贖金，那麼駭客下一次就會把贖金抬高到60萬美元。

另一個值得觀察的趨勢是網路險的興起，可能助長了駭客經濟，當愈來愈多的組織投保了網路險，代表它們也更願意支付贖金，並成為駭客持續攻擊的動機。

經濟部工業局今和資策會、北市電腦公會、中華民國資訊軟體協會、台灣區電機電子工業同業公會聯手，整合資源共同成立AI Hub，提供從需求評估、解決方案、應用實例到客製化隨需服務一站式服務，以加速AI產業化、產業AI化發展。

AI Hub為配合經濟部配合行政院推動「臺灣AI行動計畫」，委託資策會執行「AI智慧應用服務發展環境推動計畫」的成果之一，目的在結合AI資源、解決方案及產業公協會合作下，以加速國內產業AI發展，同時培養國內AI產業實力，增加輸出海外市場的競爭力。

經濟部次長林全能表示，過去企業進軍AI市場，資源、人才分散，導致效益受限，另方面，AI解決方案僵固，也不利用產業使用，是國內企業導入AI意願不高的原因，也難使國內AI產業壯大。

AI Hub目前結合超過百位AI專家、超過百家企業實證及130個新創團隊、16家公協會及法人，提供企業AI需求評估、供需媒合、解決方案、應用實例，以打造一個AI的共享資源平臺，縮短產業導入、發展AI的過程。

AI Hub現已整合68個解決方案，包含製程智慧化、裝置智慧化、服務智慧化及軟體智慧化四個領域，未來將朝100項解決方案發展。目前在AI Hub的網站上也設立智慧化產品市集，集結了50多項AI產品，供企業尋找合適的解決方案。

此外，還有演算法平台專區，已有30多個演算法上架，供企業以自身的資料進行驗證，以評估演算法的效益，再和提供者進一步協商合作的可能性，這些演算法涵蓋機器學習、自然語言、機器人等領域，使用者需先在AI Hub註冊，獲得點數後才能試用不同的演算法。

資策會表示，企業考慮採用AI前，可先透過AI Hub的需求評估，由專家評為企業評估企業在數位化程度，再根據其需求評估導入AI的可行性，協助AI的產業化發展。

企業也能透過AI Hub網站瀏覽一些AI產業應用實例，例如紡織業如何利用AOI檢測模型，檢查胚布的瑕疵，或是在紡織的產線蒐集完整的數據，透過AI優化紡織製程。其他還有如何運用AI強化營造業的工地安全、透過AI協助改善運動的訓練。

其他AI Hub所提供的功能還有AI新知，介紹國內AI解決方案服務或新創團隊，增加產業供應需求。

工業局目前推動AI應用在產業落地的「AI智慧應用服務發展環境推動計畫」為期3年，計畫預算約2億元，今天AI Hub成立已展現該計畫初步成果。另一項「AI智慧應用人才培育計畫」，以產業出題、人才解題的方式，鼓勵培育AI人才，同樣為期3年，計畫預算約1億元。

Cloudflare新發布網站服務Workers Sites，開發者可將靜態網站直接上傳到網際網路的邊緣，使其更接近最終用戶，降低網站存取的延遲，同時Cloudflare也發布了HTMLRewriter，可讓開發人員動態操作DOM，使Workers Sites的靜態網站也能有動態效果。

由於網站的效能受地理距離影響，因此有不少是為了增加網頁效能而發展的技術，像是從HTTP/1.1開始，支援網站與瀏覽器間可建立並維持多個連線，還有後來的CDN技術，能將靜態的內容存在距終端使用者較近的資料中心，加速用戶存取網站的速度。而Cloudflare現在發布靜態網站部署服務Workers Sites，則是要將網站直接發布到網際網路的邊緣，減少用戶存取延遲。

Cloudflare提到，CDN快取內容有其限制，需要猜測要被快取在CDN中的內容，而且快取的內容也無法被永久留存，而Workers Sites的想法，則是與其將來源的內容推送到邊緣，倒不如一開始就把內容放在邊緣，邊緣就是內容的來源。Workers Sites服務，是奠基於Cloudflare的無伺服器平臺Workers以及分散式鍵值儲存Workers KV打造。

開發者可以直接使用任何的靜態網站產生器，諸如Hugo、Gatsby或Jekyll產生網站，並利用Cloudflare的CLI Wrangler將網站上傳到Workers KV，當終端使用者的請求送至Workers Site時，便會讀取Workers KV的內容傳送給使用者。Workers Sites可用來部署任何靜態網站，像是部落格網站或是行銷網站等。

Cloudflare另外還發布了HTMLRewriter，這是在Workers Runtime運作的串流HTML解析器，能讓開發者基於選擇器的JavaScript API進行DOM操作，當HTMLRewriter與Workers Sites結合使用，則可以讓靜態網站不那麼靜態，Cloudflare提到，開發者在Cloudflare Workers建立API，作為無伺服器的函式服務，並將前端的靜態元素託管在Workers Sites中，就能使用HTMLRewriter API動態的將無伺服器函式服務以及靜態元素綑綁在一起。

Cloudflare提到，這樣的概念就是JAMStack，結合JavaScript、API以及Markup語言，只是大部分JAMStack應用程式都依賴客戶端呼叫第三方的API，並由客戶端JavaScript處理渲染工作，所有工作都仰賴客戶端裝置運作，而HTMLRewriter則是在邊緣的伺服器呼叫API，與客戶端相比，伺服器運算能力更好，而且可以快取這些內容，開發者還可以直接在Workers撰寫API，並合併HTML使用。

科技新聞網站Wabetainfo在WhatsApp近日推出的Android測試版中發現，WhatsApp正在實驗「訊息自我毀滅」（Disappearing Messages），使用者若在一個聊天群組中啟用了訊息自我毀滅功能，就能讓自己所傳送的訊息在5秒後或一小時之後自動消失。

Wabetainfo指出，該功能目前還處於alpha測試階段，而且只出現在群組功能中，但相信它未來也會出現在私人聊天室裡。

另一個近來頗為熱門的傳訊程式Telegram也有類似的功能，例如它的秘密聊天功能（secret chat）不但讓聊天內容只出現在單一裝置上，且在秘密聊天中就提供了訊息的「自毀定時器」（Self-Destruct Timer）。

Google在GCP上推出了推薦功能Beta版，現在提供身份以及存取管理（Identity and Access Management，IAM）以及Compute Engine容量調整兩種推薦器，用戶可以在雲端控制臺中查看推薦結果。

IAM推薦器可以自動偵測過度寬鬆的存取政策，並依據組織中相似的使用者存取模式，提供調整建議。而Compute Engine容量調整推薦器，則會依據工作負載，幫助使用者挑選最佳的虛擬機器大小，避免用戶配置運算能力過多或過少的機器。

Google提到，推薦器使用機器學習技術，自動分析使用者的使用模式，判斷用戶在Google雲端的資源與政策是否為最佳使用情況。IAM推薦器會單獨分析每個用戶的IAM權限，以創建模型並推薦安全的IAM政策，而這些建議會根據用戶的環境量身訂製，像是當有一組權限有90天未被使用，則推薦器會建議用戶應用較寬鬆的角色。另外，就Compute Engine容量調整來說，推薦器會分析前8天的CPU與記憶體使用率，以確定工作負載最適當的機器類型。

用戶現在可以在雲端控制臺的IAM頁面查看建議，並瀏覽可被最佳化的策略，而控制臺中的Compute Engine頁面提供了容量調整推薦器功能，用戶同樣也會看到可最佳化的虛擬機器。除了在控制臺存取推薦器，用戶也可以利用API來存取推薦功能。不過，如果用戶不想讓Google分析雲端使用狀況，也可以在安全與隱私面板中，選擇關閉這些建議。

「容器不夠安全，而且VM的可攜性又太差。」SUSE工程產品創新總裁Thomas Di Giacomo直言，折衷辦法就是，直接將容器放進VM中執行。

Thomas可是全球開源技術和網路界的大人物，憑著電信產業多年技術長經歷，2016年成為SUSE技術長後，代表SUSE，成了兼任多個全球開源組織或基金會的董事會成員，包括OPNFV董事、Linux基金會網路計畫董事、Cloud Foundry基金會董事，以及力推Kubernetes的CNCF基金會的董事等，他是開源和雲端原生產業的意見領袖之一。在SUSE今年3月獨立後，他更進一步接下現在的職位。

2003年，Novell買下SUSE後，將SUSE產品開源，發起了openSUSE專案，也將SUSE推到開源技術的第一線，7年後，Novell將SUSE賣給了Attachmate，後來，Micros Focus收購Attachmate，連帶買下了SUSE，但只允許SUSE以半獨立的狀態營運，直到去年中，EQT從Micro Focus買下SUSE股權，3月完成併購作業後，讓SUSE成為獨立營運的公司。

SUSE自此有了更大的自主權。Thomas Di Giacomo透露，產品研發和未來藍圖依舊聚焦在開源技術，獨立後最大的改變是，可以主動投資甚至併購有助於SUSE成長的公司，目前已有目標，未來幾個月後就會揭曉。

站在全球開源雲端技術的第一線，Thomas認為，容器還是一項太年輕的技術，尤其，從企業角度來看，容器不夠安全。

但是，VM問世超過15年，虛擬化技術已經有成熟的網路管理、儲存支援與安全政策管理機制，不論是VMware、KVM或Hyper-V等，都在網路安全和儲存機制上著墨很深。這些都是目前容器技術還不夠成熟之處。「總有一天，容器開發社群會趕上，但不是現在。」他坦言。

結合容器和VM，走出基礎架構第三條路

可是，微服務世界已經來了，雲端原生應用到處都是，這些都非得靠容器技術，才能更輕巧地，快速擴張和移動。安全怎麼辦？最快的方法，他認為：「將容器放進VM，兩者結合就走出了基礎架構的第三條路。」

而從VM技術起家的OpenStack，也在Kubernetes競賽上慢了一步，為了追上容器技術競爭的腳步，選擇從VM優勢來切入容器，2017年12月，OpenStack基金會整合了Intel的容器技術Clear Container和一家虛擬化新創Hyper打造的Hypervisor級runtime，啟動了Kata計畫，這是一個利用VM技術來隔離容器的新專案。

Thomas解釋，正是因為資安需求，OpenStack才發起了Kata這個專案，「當時，不管哪一種容器格式，都無法真的可以提供足夠的隔離，Kata是第一個擁抱VM級隔離性的容器。」

不同於傳統容器直接靠Linux核心機制來建立隔離，Kata容器則是先建立VM環境，搭配輕量級的Linux核心，以便在VM內執行容器。（攝影／王宏仁）

擔任OpenStack基金會主席的Alan Clark，也在SUSE擔任產業創新總監，直屬於Thomas。SUSE很快就決定要全力支援Kata，直接放進了自家企業級Linux產品中，要讓SUSE Linux成為部署Kata容器的平臺，不只可以上雲，也可直接在裸機上部署。

如今，隨著Kata越來越成熟，今年7月時，SUSE正式宣布，將Kata納入SUSE Linux滾動升級版本中，新版自動內建新版Kata容器。Thomas表示：「這將會是Linux作業系統的重要能力之一。」

Thomas指出，Kata用VM技術來建立隔離，最大好處是，可以直接套用VM的網路政策和儲存政策，讓不同的VM各自有其獨占的權限，一來可以保護容器受到外部的影響，另一方面，容器內的程式發生問題或感染惡意程式，也不能用來攻擊或接觸到VM以外的區域。

所以，不只OpenStack基金會的Kata專案，後來，Google也推出了容器沙盒技術gVisor，「gVisor也是一種容器技術的格式，和Kata計畫想做的事類似。」

Thomas進一步釐清：「Kata是一種容器格式，就像是gVisor或Docker一樣，而不是Kubernetes那一類的管理或調度平臺，所以，Kubernetes也可以用來調度Kata容器。」

傳統的容器是利用Linux核心的機制，包括了Namespaces、cgroup等，將CPU、記憶體、網路和儲存資源，分配給不同的容器，透過各自獨立的Namespaces來區隔，不同容器所能調度的硬體資源。

而Kata容器的作法是，底層一樣是Linux核心，但先透過一個Hypervisor runtime來建立一個硬體資源的虛擬池，再分配給不同的輕量級VM，供VM內的容器來使用。

Thomas解釋，Kata使用最小化的Hypervisor層，VM內也採用了輕量化的Linux核心來建立容器環境，因此，Kata不算是一種全套式的VM，而是介於完整VM和容器之間的技術，沒有放入AP程式碼時，Kata容器大約只有幾MB大小。在部署上，Kata可以透過作業系統如SUSE Linux，部署到裸機環境。

容器不夠安全，但微服務世界已經來了，將容器放進VM，就走出了基礎架構的第三條路。── SUSE工程產品創新總裁Thomas Di Giacomo

將容器放進VM得付出效能代價

但是，將容器放進VM，雖然兼具了兩家之長，但也喪失了不少容器輕量化的優勢，儘管Kata容器不會像傳統VM那樣的笨重，不過，還是比容器的檔案大了許多，Thomas坦言，為了安全，第一個付出的代價是「損失了容器的密度。」同樣一臺伺服器，部署Kata容器的最大量，會比容器少得多。

除了容器格式和容器調度平臺之外，企業導入容器還需要好用的容器派送工具，Thomas表示，目前SUSE也正在尋找一種可以剖析現有VM後，將VM中的AP打包成容器化應用的工具，而且不只程式碼，連同中介層的軟體和Runtime，也可以自動搬進Kata容器中的工具。

「一旦容器安全機制發展得更好了，企業應用就可以大量轉移到新型態的容器應用模式。但目前是處於轉型的階段，得靠這種銜接兩者的工具來加速轉移。」Thomas表示。

不過，將容器放入VM後，除了影響效能和移動力之外，還帶來了一個大挑戰是「基礎架構維運的複雜度增加了」，Thomas強調，試想在Kubernetes平臺上，一群虛擬化的容器組成了Kubernetes的POD叢集時，監控機制能否同時蒐集到容器和VM的狀態和變化，將比過去的難度更高上好幾倍。

其中一項複雜度是應用碎片化的挑戰，容器技術，結合了微服務架構，甚至是無伺服器技術，企業將放入容器中的功能的規模越小，若又搭配不同的開源軟體來提供這些功能，應用程式碎片化的程度就越高。

「服務網格（Service Mesh）適合用來定義容器和容器之間的互動。在容器世界中，移動微服務，需要服務網格，不過，如何組合和管理碎片化的應用，將是一大挑戰。」他說。SUSE產品也會納入這類技術和產品，例如Istio。

基礎架構技術的下一波挑戰

下一個IT基礎架構技術發展的大挑戰，Thomas Di Giacomo認為是：「如何自動將對的功能，放到對的硬體上執行，而且還能進行最佳化。」像Kubernetes對運算資源的支援能力很高，可以分辨使用哪一類CPU來執行哪些應用，現在還可以支援GPU，未來或許還能支援到FPGA處理器、HPC或專屬CPU，如何確保不同的服務或功能，可以使用到合適的硬體資源，將是Kubernetes的課題。

而從企業管理角度來看，他認為，當容器、微服務、無伺服器應用，再加上了混合雲或多雲架構變成主流之後，企業面臨的考驗可能是，IT要判斷，一支AI應用，可能要用GCP來執行TensorFlow的模型訓練，再透過Azure上提供服務，再將資料存回本地端的資料中心，如何組合不同環境中的應用和服務，提供最佳化的作法。

Thomas觀察，多數優化工具大多用於私有雲或單朵雲的環境，還沒有能優化跨雲調度資源的工具。「目前，沒有開源專案聚焦在這麼複雜的領域。」

尤其，目前的Kubernetes叢集優化工具，大多是用於內部的自我優化之用，Kubernetes叢集無法自動跨叢集溝通，更遑論跨混合雲或多雲之間的Kubernetes叢集溝通。「一旦容器再進一步結合了VM之後，效能監測和優化的工具，就更顯得重要。」就像在分散式系統中，再放入一套分散式系統，如同一層又一層疊加的俄羅斯娃娃一樣，如何了解內容物非常費工。

「未來，容器一定會越用越多，」新應用都會使用容器，可是沒人想花時間重新改寫老舊應用。所以，這兩者還會共同存活很長、很長一段時間，就像30年前的大型主機，至今仍在一樣。

「創新往往不見得完全取代了過去，只是增加新選擇，舊事物依舊在，只是越來越少。」看過開源科技圈起起伏伏的Thomas這樣告訴我。

CTO小檔案

Thomas Di Giacomo

SUSE工程產品創新總裁

學經歷：日內瓦大學電腦科學博士。曾擔任過瑞士電信技術長多年，2016年進入SUSE擔任全球技術長，先後代表SUSE，兼任多個全球開源組織或基金會董事會成員，包括OPNFV董事、Linux基金會網路計畫董事、Cloud Foundry基金會董事、CNCF基金會董事等。2019年1月更成為SUSE工程產品創新總裁。

公司檔案

SUSE

● 成立時間：1992年

● 網址：www.suse.com

● 執行長：Melissa Di Donato

● 年營收：2017年約3億美元

● 總部地址：總部位於德國紐倫堡。

● 全球員工人數：1,400人（2017年）

公司大事紀

● 1994年：推出S.u.S.E Linux 1.0

● 1996年：首款完整的Linux作業系統套件SUSE Linux 4.2

● 1997年：展開全球布局，先擴大到北美市場，1999年進入亞洲市場

● 2000年：推出企業級OS產品SUSE Linux Enterprise Server

● 2003年：推出桌面版SUSE Linux Desktop

● 2004年：將產品完全開源，啟動openSUSE開源計畫，並以此來發展企業版Linux

● 2012年：推出SUSE OpenStack Cloud

● 2014年：推出SUSE Manager，進軍基礎架構管理市場

● 2015年：推出Ceph打造的SUSE Enterprise Storage，進軍儲存市場

● 2017年：推出K8s容器平臺產品SUSE CaaS Platform，也買下HPE的OpenStack團隊和Cloud Foundry團隊

● 2019年3月：EQT從Micro Focus買下SUSE股權，並將SUSE成為獨立營運的公司

為求降低企業儲存環境的維運成本，改善管理效率，基於雲端環境、以AI技術為支撐的雲端儲存管理平臺，可說是近年來儲存管理領域的一大潮流，可以透過雲端提供無遠弗屆的用戶環境集中監控能力，以及自動診斷、自動通知異常狀態的自動化管理能力，還能在AI的幫助下，提供用戶使用狀況的分析、預測，與升級與組態調整的自動化諮詢與建議功能。

這類平臺一開始是從Nimble Storage、SoldFire等新創廠商先行投入，到了現在，幾乎所有一線儲存大廠都擁有了這類服務，如Dell EMC的CloudIQ、HPE的InfoSight、IBM的Storage Insights，Hitachi的HIAA，Pure Storage的Pure 1，以及華為的eService等，我們這裡介紹的NetApp Active IQ也是其中之一。

最初，Active IQ原是SolidFire為其SF系列全快閃儲存陣列，於2014年推出的雲端集中管理平臺，當NetApp於2015年併購SolidFire後，Active IQ也跟著轉到NetApp旗下，再結合NetApp自身的AutoSupport服務，擴展成為橫跨NetApp產品線的統一管理平臺。

目前的Active IQ平臺可支援SolidFire SF全快閃儲存陣列、FAS/AFF系列儲存陣列、E/EF系列儲存陣列、StorageGRID物件儲存設備，也能支援軟體定義的ONTAP Select儲存裝置、雲端版Cloud Volumes儲存裝置、NetApp HCI超融合系統，以及先前稱為AltaVault的Cloud Backup等產品，幾乎涵蓋了NetApp旗下所有主要產品線。

Active IQ是NetApp的雲端管理平臺，可以支援NetApp旗下所有主要產品線，提供雲端監控、資源分析分析，以及組態升級建議等服務。除了標準的網頁介面外，Active IQ也有手機App版本可用。

從雲端管理NetApp全線產品

只要用戶擁有NetApp的主動支援合約（Active Support），然後在儲存設備上啟用啟用AutoSupport功能，Active IQ平臺便能與用戶的儲存設備連結。其中FAS/AFF系列的AutoSupport功能，是透過ONTAP作業系統的CLI指令來設定；其餘NetApp產品，則直接透過網頁控制臺就能啟用AutoSupport功能。

開始AutoSupport後，用戶儲存設備便會持續將設備組態、運行狀態、日誌與效能等資訊，上傳到NetApp的Active IQ雲端資料中心進行匯整，然後透過雲端管理控制臺，向用戶提供一系列服務，包括系統監控維運，以及分析預測與諮詢這兩大面向：

（1）系統監控維運服務：藉由匯整與檢測用戶端儲存設備回傳的系統參數，提供雲端集中監控，自動化系統健康診斷、異常狀態通報等監控等功能，還能針對故障事件，自動開立備品更換報修案件，大幅簡化與加快報修流程。

（2）分析預測與諮詢：利用持續累積的用戶端設備運行歷史資料，在AI技術的支援下，提供用戶儲存環境資源的使用分析與預測，以及軟、硬體組態升級調整建議等功能。

另外Active IQ也提供了配合手機環境的App軟體版本，包含iOS與Android兩種平臺，管理者無論身在何處，都能透過手機登入Active IQ，隨時檢視自身儲存環境的狀態。

Active IQ的3大效益

藉由結合雲端平臺，以及基於AI技術的分析、預測功能，與自動化的管理與諮詢服務，Active IQ這類管理平臺可為用戶提供3大效益。

首先，是透過雲端，提供不受環境限制、無遠弗屆的集中監控能力。用戶端的管理者無論身在何處，只要能連上雲端，就能藉由Active IQ監控自身儲存環境的狀態，大幅提高了用戶管理作業的彈性。

其次，是提供自動化、主動式的儲存環境維運支援服務。

Active IQ藉由7x24小時持續地收集用戶儲存環境的運行資訊，可從中診斷用戶端系統的健康狀態，並在發現異常時自動觸發維運支援服務，除了通報用戶外，也能主動建立對應的報修案件，並連繫NetApp原廠與協力廠商，幫助用戶及時處理異常現象，從而大幅加快問題的解決時間，提高用戶系統的正常可用時間。

第三，透過Active IQ後臺系統的機器學習等AI技術，扮演類似專家系統的角色，利用收集到的用戶設備資訊，分析用戶使用行為，然後預測未來需求，從而為用戶的調整組態或軟、硬體升級需求，提供自動化的諮詢與指引，不僅可以降低對於儲存廠商人力諮詢的依賴，而且還更方便。

Active IQ儲存管理平臺的基本架構

Active IQ的基本概念

如同其他雲端AI儲存管理平臺，Active IQ運作也可分為3個階段：

（1）收集資訊：利用AutoSupport功能，將儲存設備的組態、系統版本與運行日誌等資訊，上傳到NetApp資料中心。

（2）匯整與分析：NetApp資料中心透過Active IQ資料庫收集用戶端資訊後，利用AI、機器學習等技術，彙整與分析用戶設備運行資料。

（3）提供服務：透過雲端控制臺介面，向用戶提供設備監控，儲存資源分析預測、診斷與問題警示，並視用戶需求提供建議與指引。（資料來源：iThome整理，2019年9月）

如Active IQ這類雲端儲存管理平臺，可以看作是phone home功能的進化發展。過去的phone home，只是在背景將用戶端設備的特定訊息發送給供應商，讓供應商可以掌握用戶端情況。而Active IQ這類平臺則在phone home的基礎上，進一步結合雲端平臺與AI技術，來為用戶提供加值的管理服務。

Active IQ的基礎，是透過AutoSupport資料回傳機制，收集用戶端設備運行資料。視設備款式不同，AutoSupport收集的資料型式也有所差異，不過基本上都會包含設備型式（型號、系統版本等）、組態（磁碟區設定等）與運行日誌（系統服務日誌、容量與效能耗用統計等）這3大類。

Active IQ資料中心收到AutoSupport回傳的用戶端設備資料後，便能視資料類型分別組織與處理，並套用AI與機器學習模型分析。而經由Active IQ處理後的資料，再透過雲端控制臺，為用戶提供狀態監控、檢視、異常警示與處理、資源使用分析與預測，以及組態調整或升級建議等一系列服務。

Active IQ的資安防護措施

由於Active IQ的基礎，是藉由AutoSupport上傳用戶端設備資料，由此衍生的疑慮，便是資料上傳的安全性，上傳的資料可能外洩，而資料上傳的通道也可能成為入侵的管道，所以NetApp也在不同環節採取了防護措施。

首先，用戶可以選擇遮蔽部份AutoSupport上傳資訊，刪去其中的識別性資訊（如內部網址、裝置名稱等），只上傳非識別性的環境運作資訊（日誌與參數資料等）。

其次，AutoSupport的資料上傳可使用加密的HTTPS協定。

第三，NetApp用於Active IQ服務的資料中心，擁有ISO/IEC 27001認證的資安防護，有助於保護用戶上傳的資訊不至外洩。

Active IQ的資料傳輸

AutoSupport的資料上傳可支援HTTPS或SMTP協定，將訊息發送到NetApp的Active IQ資料庫、用戶端管理者，以及對應的協力廠商。為確保資料安全，NetApp建議採用加密的HTTPS協定。（圖片來源／NetApp）

Active IQ的雲端控制臺

總體儀表板

提供了用戶端NetApp儲存環境的總體狀態，整個頁面由上到下分為4個欄位，最上面一排列出了高風險事件、警示與服務合約到期日等資訊；中間欄位左方是整個儲存環境的資產統計，右方是容量預測資訊；最下面2個欄位則提供支援合約更新、儲存效率統計、系統風險評估與建議、追蹤案件等資訊。

雲端管理控制臺是用戶存取Active IQ所有應用功能的入口，Active IQ的所有服務，都是透過雲端控制臺向用戶提供。

Active IQ經由AutoSupport所收集到的用戶端儲存設備資訊，經分析、彙整後，再透過雲端控制臺的網頁式介面，以圖形化儀表板方式呈現給用戶。而Active IQ後臺提供的各式分析與自動建議功能，也是透過雲端控制臺介面來操作。

除了被動接收Active IQ的資訊外，用戶也能針對升級或其他需求，透過Active IQ雲端控制臺通報NetApp原廠。

Active IQ提供了總體儀表板與系統儀表板兩種基本控制臺介面。登入後的Home首頁，便是總體儀表板，可以從這個單一檢視畫面，總覽整個用戶端的NetApp儲存環境狀態，包括系統健康狀態、容量預測與空間效率、效能與保謢狀態，以及支援服務合約的到期日，與系統升級建議訊息等資訊。用戶也能將這些資訊輸出為PDF或CSV格式的報表。

若用戶想要得知個別儲存系統的狀態，則可切換到該系統的系統儀表板（System Level DashBoard），檢視個別系統的組態資訊、健康狀態與容量效率等訊息，不過Active IQ目前能檢視的資訊，還只有儲存設備層即，不像HPE與Pure Storage的同類平臺已能檢視到VM層級資訊。

由於Active IQ可以橫跨支援NetApp旗下多個產品線，而不同產品的架構、規格與功能都有所差異。所以Active IQ在對應不同NetApp產品時，所提供的功能與畫面也有所區別。例如E與EF系列是傳統的雙控制器儲存陣列，也沒有重複資料刪除功能，所以在Active IQ的控制臺介面中，便沒有ONTAP系統的Cluster相關頁面，在計算容量效率時，也沒有考慮重複資料刪除功能。

除了標準的網頁介面外，Active IQ也提供了iOS與Android兩種行動平臺下的行動App控制臺。行動App版的Active IQ控制臺，也提供了檢視整個儲存環境到個別系統的狀態資訊，以及分析、自動建議等功能，可以讓用戶更容易地使用Active IQ的服務。

系統層級儀表板

提供儲存環境中個別系統的資訊，由上到下分為3個欄位，最上面一欄是高風險事件、警示、升級建議與支援合約狀態；中間欄位左邊是系統組態資訊，右邊是容量預測資訊；下面欄位則是系統風險與儲存效率資訊。

App行動儀表板

行動App版的Active IQ主頁面，是總覽整個系統狀態的儀表板，包含了資產統計、高風險事件、升級狀況與已開立案件等資訊，可從中點選進入個別系統的頁面，並啟用升級分析建議等服務。

Active IQ的分析與自動建議服務

多樣化的儲存資源分析工具

Active IQ透過總體與系統層級儀表板介面，提供了容量預測、系統風險評估、以及升級建議等工具，可幫助用戶解決容量耗用、系統健康狀態與軟體升級等問題。

類似其他同類平臺，藉由用戶端持續上傳的系統資訊，Active IQ能夠分析與預測用戶端的儲存資源使用狀態，並為用戶端提供升級建議。Active IQ可透過稱作Community Wisdom的AI輔助機制，每天從全球30萬臺設備上收集的超過200萬個資料點，在NetApp資料中心利用機器學習等分析方法，建立針對不同應用情境的最佳實作模型，為用戶提供諮詢。

Active IQ的自動化分析與建議功能，可大致分為3個類型：

（1）系統風險評估與建議：依據自動化診斷結果，在總體儀表板介面中提供了高風險事件警示，以及系統風險預測。Active IQ可針對診斷出的高風險事件，分別提出影響評估，以及解決辦法的建議。

（2）容量預測：預測用戶的儲存容量使用情況，並列出已經達到90%容量耗用、或將在1～6個月內達到90%容量耗用的系統，用戶還可以在容量預測工具頁面中，向NetApp原廠發出擴充容量需求的申請。

（3）系統擴展與升級建議：透過控制臺頁面的升級建議（Upgrade Advisor）功能，為個別系統產生系統軟體的升級計畫。針對NetApp HCI超融合系統，還能提供整個超融合應用環境的擴展升級規劃，包括具體的升級型號、數量等，然後向NetApp原廠與協力廠商發出需求申請。

自動化系統擴展建議

搭配NetApp HCI超融合系統時，Active IQ提供了自動化的擴展建議工具功能，可依照用戶設定的升級目標，產生具體的升級組態建議，包括擴展的超融合伺服器型號、數量等具體指引資訊。

系統健康趨勢與風險分析與建議

透過Active IQ控制臺的健康趨勢分析工具（Health Trend），可以追蹤關於系統健康、資安效能等方面的風險。而透過風險建議工具（Risk Advisor），則可針對風險事件逐議列出評估結果，以及解決方法的建議。

產品資訊

NetApp Active IQ

●原廠：NetApp(02)8729-5000

●建議售價：廠商未提供

●支援儲存產品：SolidFire SF系列快閃儲存陣列，FAS/AFF系列儲存陣列、E/EF系列儲存陣列、StorageGRID物件儲存系統，Cloud Backup、Cloud Volumes與NetApp HCI

●主要服務：儲存設備雲端集中監控,自動化系統健康診斷,故障自動報修, 儲存資源使用分析與預測,自動化升級建議