你還在用Yahoo群組(Groups)嗎?如果有,最好快點找新平台,因為Yahoo宣佈將在年底對外關閉,屆時將刪除所有資料。
Yahoo上周發出公告指出,從10月28日起,將不再允許使用者上傳任何資料到網站上。而到12月14日,所有先前張貼的內容也將永久移除。
包括所有平台上的檔案、相片、資料夾、附檔、連結、群組對話、郵件、投票結果及行事曆等,全數都會被刪除。
技術上而言,Yahoo Groups還會在,但是所有公開群組都不再開放或限制存取,只有群組管理員邀請才能加入為成員。群組管理員還是能管理設定,但有些功能將縮減。
雖然Yahoo 2年前被Verizon收購,不過還是有些企業仍然在用Yahoo群組。The Verge報導,英國電信管理局的Oftel Yahoo Group可查詢哪些門號是哪些電信公司持有,因此對英國電信業者來說很有用。
現在起用戶可以到Yahoo Groups下載儲存相片和檔案,或是從隱私控制台下載所有資料。
Alphabet子公司Wing上周宣佈推出以面向一般大眾的無人機快遞服務,也是美國第一個商業性無人機送貨到府服務,日前啟動測試。
Wing一年前也是第一家獲美國航太管理署(Federal Aviation Administration,FAA)頒發航空貨運承攬許可證(Air Carrier Certificate)的業者,這張許可證允許Wing啟動前導專案,測試以多台無人機對大眾推出商品送貨到府服務。
Wing第一階段是和零售通路包括Walgreens及當地零售連鎖Sugar Magnolia,在維吉尼亞州克里斯琴堡(Christiansburg)市測試包裹、零食點心、禮品及市售醫療用品送貨服務。此外,Wing也和聯邦快遞(FedEx Express)合作美國第一個定期電商無人機快遞班次。
Wing表示,消費者輸入地址、完成下單數分鐘後,即可在指定地點取得商品。根據該公司公佈的影片,年長或家中有幼兒不方便外出的消費者透過智慧型手機下單,配貨中心人員即會將商品置入有Wing字樣的紙盒,由輕型無人機吊掛送至消費者家門前、院子或停車道,輕輕放下商品後再回到位於該市的基地。
克里斯琴堡民眾即日起即可透過Wing官網報名參加Wing的早鳥測試計畫。
快遞及貨運大廠UPS旗下子公司UPS Flight Forward,今年也在北卡羅萊納州推出該公司首個醫療檢體無人機快遞服務,10月宣佈獲得FAA許可成立第一支無人機航空,將服務範疇推向全美。但UPS服務目前鎖定醫院院區間的醫療用品遞送,未來才會跨足其他產業運輸服務。
微軟上周釋出的Windows 10累積更新,造成Windows Defender ATP無法運作,迫使微軟呼籲用戶暫時不要安裝。
微軟上周針對Windows 10 1809及Windows Server 1809、Server 2019 釋出KB4520062版累積更新。不過隨即在部份用戶電腦上引發問題,他們安裝本次版本後,端點安全軟體Windows Defender ATP就不動了,無法發送安全報告,用戶還會在事件檢視器(Event Viewer)中,接收到0xc0000409的錯誤訊息通知。不過Windows Defender Antivirus不受影響。
微軟表示正在製作修補程式,預計11月釋出。所幸這個版本並非安全性更新,只是修補一些功能性瑕疵,像是「開始」功能表磚塊消失、無法連上Windows 虛擬桌面、Hyper-V Host叢集穩定性、以及長時間使用某音訊檔藍牙連線問題。因此微軟建議在修補程式釋出前,受影響的系統先不要安裝更新。
另外,KB4520062還引發其他問題。沒有管理員權限的用戶,想在叢集共享磁碟區(Cluster Shared Volume,CSV)擁有者節點(owner node)上的檔案或資料夾進行某些作業,像是重新命名會出現失敗。微軟表示正在解決,會在未來更新版中釋出修補程式。
CNBC報導,上個月因健康因素請長假的甲骨文共同執行長Mark Hurd,上周因不明原因辭世,享年62歲。
CNBC拿到甲骨文創辦人Larry Ellison上周五發出的員工公開信說,甲骨文失去了一位聰明而備受敬愛的領導者…「我們所有人都會懷念Mark的熱情,以及迅速分析、簡化及解決問題的不凡能力,我們有些人將懷念他亦師亦友的情誼,我則會懷念他的仁慈和幽默。」甲骨文公司證實此事,但並未發佈聲明。
甲骨文九月宣佈,Mark Hurd將因健康因素請長假,由共同執行長Safra Catz和技術長Larry Ellison接手其共同執行長的職務。當時甲骨文即將結束2020年度第一季末,並將召開OpenWord 2019 大會,但Hurd說他認為必須花更多時間在自己的健康上。
Hurd在職涯期間鬧出二大醜聞。首先他於2006年擔任HP執行長時,曾為了調查是哪個員工外洩機密給媒體CNET報導公司新聞,而聘請外部徵信業者假冒HP董事及9名記者身份取得其電話號碼,藉此獲取通聯內容。HP被告上法院,之後HP付錢和解本案。2010年,Hurd鬧出性騷擾員工醜聞被迫下台,當時甲骨文創辦人Ellison出手援助,在Hurd下台後2個月聘請他加入甲骨文高層。
不過Hurd管理能力有目共睹,CNBC報導,Hurd和Catz共同擔任甲骨文執行長以來,公司股價成長了37%。
GitHub的首席安全工程師Nico Waisman上周揭露了存在於Linux核心(Linux kernel)的安全漏洞,且該漏洞從2013年的Linux kernel 3.10.1便已存在,一旦被開採就有可能造成系統當機或是遭到駭客掌控。
此一漏洞編號為CVE-2019-17666,它存在於Linux核心中的RTLWIFI驅動程式,這個驅動程式是用來支援瑞昱(Realtek)的Wi-Fi晶片,因此,當採用瑞昱Wi-Fi晶片的Linux裝置位在惡意裝置的無線通訊範圍內時,該漏洞就能被觸發,形成緩衝區溢位,而讓Linux系統當掉,或是允許駭客取得系統權限。
此一漏洞僅衝擊那些開啟Wi-Fi並使用瑞昱晶片的Linux裝置,但從漏洞的屬性來看,採用瑞昱Wi-Fi晶片的Android裝置也可能受到波及。
Waisman向Ars Technica透露,這是個嚴重的臭蟲,代表Linux裝置只要使用了RTLWIFI,就可被遠端駭客藉由Wi-Fi造成系統的緩衝區溢位。
Linux開發人員已提交了CVE-2019-17666的修補程式,預計很快就會被整合到Linux核心中。
在世界協調時間10月18日的下午一點半到四點五十分之間,採用Microsoft 365多因素認證(Multi-factor Authentication,MFA)的北美用戶,一度無法登入相關服務,包括Office 365與Microsoft Azure等。
根據微軟的說明,因為MFA的失靈,有些使用者要登入時,無法藉由電話、簡訊或認證程式收到認證請求。
微軟曾在意外發生時在官方Twitter帳號上警告,MFA的失靈讓管理人員無法存取管理中心,但眾多的用戶在下方留言,表示不只是管理中心,使用者也無法存取Office 365、Azure或Outlook,基本上是任何Microsoft 365服務都被波及。
雖然只故障了三個多小時,但已造成眾多用戶的不便,再度令市場質疑雲端服務的可靠性,目前微軟仍在調查事故發生原因,尚未公布結果。
資安業者Emsisoft上周釋出了勒索軟體Stop(又名Djvu)的解密金鑰,Stop是近來最常見的勒索軟體,估計市場上總計有160種變種,而Emsisoft的解密金鑰,則能解鎖其中148種變種的加密檔案,對受害者來說無疑是項福音。
Stop勒索軟體主要透過金鑰產生器及破解程式散布,這些工具通常是用來讓人們免費使用付費軟體,而最大的受害者則為阮囊羞澀的學生或青少年,或是與他們共用電腦的親友。Stop除了會加密系統上的檔案之外,有時還會嵌入其它惡意軟體,像是專門盜取密碼的木馬程式。
根據ID Ransomware在今年4到9月的統計,Stop在勒索軟體領域的市佔率達到56%,居次的Dharma則只有12%。前五大受害區域為印尼(17.1%)、印度(15.0%)、美國(13.6%)、巴西(13.2%)與韓國(12.6%),當中的印尼剛好是全球盜版軟體最猖獗的市場之一。全球確定的Stop受害者數量為11.6萬,但估計受害者可能高達46萬。
Stop家族的勒索軟體會將加密系統上的檔案,並把它們的副檔名變更為.djvu、.rumba、.radman或.gero等,然後向受害者索取980美元的費用來換得解密金鑰,若在72小時內與駭客聯繫則可打五折。
Emsisoft表示,他們是透過Stop的金鑰串流漏洞展開旁路攻擊,破解了Stop的加密機制,而這也是史上第一次利用此一方法大規模回復加密文件。
可惜的是,目前Emsisoft所打造的解密工具只能回復148種Stop變種,無法涵蓋全部的160種,但估計已覆蓋了70%的Stop受害者,至於另外的12種變種目前則尚無解法。
曾感染Stop勒索軟體的受害者現可下載Decryptor for STOP Djvu或Decryptor for STOP Puma來試試自己的運氣。
資安業者ESET本周警告,駭客在各大地下論壇推銷專門用來造訪暗網的Tor Browser瀏覽器,卻在該瀏覽器中動了手腳,當受害者造訪俄羅斯暗網市集並執行交易時,便偷偷地把市集中的加密貨幣錢包換成駭客的錢包,從2017年到現在,總計竊取了4.8個比特幣,獲利約4萬美元。
根據ESET的調查,駭客申請了兩個類似Tor官網的網址:tor-browser.org與torproect.org,這兩個網站都是採用俄文,並在地下論壇裡推銷Tor瀏覽器的優點,再將使用者導向tor-browser.org,在該網站上警告使用者的瀏覽器過期了,應該要下載最新的版本,再引導使用者至torproect.org下載。
然而,torproect.org所存放的Tor瀏覽器,是2018年1月所釋出的Tor Browser 7.5,這個有毒的瀏覽器以標準的Tor瀏覽器為基礎,但竄改了一些瀏覽器的預設設定與擴充程式,例如關閉了所有的更新;讓所有受害者都使用同樣的代理人;關閉安裝擴充程式所要求的數位簽章功能;還變更HTTPS Everywhere擴充程式的設定,以允許載入與執行特定的腳本程式。
該腳本程式可通知遠端伺服器有關使用者正在造訪的網頁,還能下載額外的JavaScript酬載,此一酬載則能抓取表單、隱藏或注射內容,還能顯示偽造的訊息。
駭客鎖定了3個最大的俄文暗網市集,以該JavaScript酬載變更加密貨幣交易服務QIWI或網頁上所呈現的加密貨幣錢包的位址,將受害者所存入的比特幣轉到駭客所掌控的3個帳號中。
兩個偽造的Tor官網是在2014年就成立了,而駭客的加密錢包則是在2017年申請,ESET追蹤發現駭客的加密錢包已經累積了價值超過4萬美元的4.8個比特幣,但若從其它的時間點來看,相信駭客的不法所得超過此一數字。
總之,有許多案例都在提醒使用者,下載任何軟體最好自己搜尋官網,而不要輕信各式網站上所張貼的連結。
駭客技術研究組織SRLabs發現,無論是Google Home或是Amazon的Alexa智慧助理,惡意人士都可以透過廠商開放的標準介面,使裝置轉變成為智慧間諜,不只能夠利用語音釣魚騙取用戶的敏感訊息,還能在用戶認為裝置停止運作之後,持續繼續進行竊聽。
智慧間諜的第一種攻擊模式,可以透過簡單地變更後端,就能向用戶請求密碼,研究人員提到,利用這項手法,任何語音應用程式都可以請求諸如使用者密碼等敏感資訊。駭客可先創建一個看似無害的應用程式,而該應用程式包含一個由「開始」觸發的意圖(Intent),並把下一個收到的字詞設為使用者輸入。意圖是指使用者可以操作,並可定義於Alexa的技能(Skills)或是Google Home的行動(Actions)中的動作。
由於Amazon或Google只會在語音應用程式發布前檢查其安全性,而在之後便不會再有第二輪的安全審核。因此駭客可將先前通過審核的歡迎訊息,替換成假造的錯誤訊息,向用戶發送「您所在的國家/地區目前無法使用此技能」的語音,讓用戶以為應用程式尚未啟用,而用戶便會假設語音應用程式不再進行監聽。
接著讓語音應用程式說出字元序列「U+D801、點、空白」,而由於裝置無法發音該字元序列,因此會讓裝置進入靜默的狀態,而重複多次該字元序列,則可延長音響靜音的時間,等待一段時間靜音之後,播放出語音釣魚訊息「有裝置可用的安全更新,在密碼之後開始更新」,而之後用戶說的所有內容,都會被傳送給駭客。駭客也可以使用類似的方法,來取得用戶的電子郵件,以存取Amazon或Google帳號。
第二種智慧間諜的攻擊方法,則是使用假的暫停意圖來竊聽用戶,竊聽Alexa跟Google Home用戶的方法不同。目標攻擊Alexa用戶的駭客,可以利用Alexa裝置以特定關鍵字觸發語音錄製的功能,像是我,或是之後可能會帶有敏感資訊的電子郵件、密碼或是地址來竊聽敏感資訊。駭客先創建一個無害的技能,裡面包含兩個意圖,第一個是由停止指令啟動且會複製停止意圖的意圖,第二個則是由特定常用字詞開始的意圖,並將之後收到的語音作為使用者輸入。
同樣的在Amazon審查之後,駭客可以把語音應用程式中的第一個意圖改為說再見,但是持續開啟對話(Session),同樣讓裝置念出「U+D801、點、空白」字元序列以維持靜默,同時也改變第二個意圖,使其不做任何反應。這樣的安排讓用戶嘗試結束技能的時候,依然會聽到再見的語音訊息,但是技能會持續運作數秒鐘,這時當用戶說出的句子以關鍵字詞開頭,則意圖會將該句子當作使用者輸入,發送給攻擊者。
而對於Google Home來說,第二種智慧間諜攻擊法更強大,不需要指定觸發關鍵字,而且駭客還可以無限期監聽用戶對話。同樣利用了語音應用程式不會被審查第二次的漏洞,在語音應用程式發布之後,修改原本的意圖,並且結合靜默與監聽,可以讓語音應用程式不停地向駭客的伺服器發送已辨識的語音,甚至將帶有OK Google前綴的用戶命令,發送給駭客,而駭客還可以模擬其他應用程式的行為,進行中間人攻擊。
SRLabs在揭露漏洞之前,已經依照漏洞通報程序通知Google和Amazon,研究人員提到,要防止智慧間諜的攻擊,Amazon與Google需要對語音應用程式商店進行更嚴格的審查,並且刪除無法發音的字元或是語音合成標記語言(SSML),以防裝置可以產生長時間的停頓。而使用者具有語音應用程式也會遭到濫用的認知,在安裝的時候要更加謹慎。
有6名美國國會議員在上周五(10/18)發表了一封公開信,指出他們很關心蘋果的程式審查程序,包括之前奉中國政府之命,移除了App Store上有關香港民主運動的HKmap即時地圖(HKMap.live)程式,也對此感到非常失望。
簽署此一公開信的包括Ted Cruz、Ron Wyden與 Tom Cotton等3名參議員,以及Alexandria Ocasio-Cortez、Mike Gallagher與 Tom Malinowski等3名眾議員。
這群美國國會議員認為,HKmap即時地圖充其量只是用來讓抗議人士能夠分享各地訊息,以避免受傷,且根據GreatFire的統計,蘋果在中國至少已封鎖2,200個行動程式,包括用來突破中國防火牆的VPN程式,以及由當地少數民族所建置的程式。
他們在公開信中表示,蘋果曾說想與中國領導者合作以實現變革,而非袖手旁觀,而他們也相信,藉由外交與貿易手段能夠推動民主化,但當一個專制的政府拒絕進化,或甚至變本加厲時,與之合作就會變成共犯。
蘋果執行長Tim Cook曾透過信件對員工說明,HKmap即時地圖讓群眾回報警察檢查哨、抗議據點或其它資訊,相關資訊雖是無害的,但他們收到來自香港網路安全與科技犯罪調查科、以及許多香港民眾的回應,聲稱該程式被用來向個別的警察施暴,也在沒有警察進駐的地方危害資產或傷害民眾,因而決定將它下架。
其實上述6名國會議員中的5名,同一天也連署了另一封指責暴雪娛樂(Blizzard Entertainment)的公開信,原因也是暴雪處分了支持香港民主運動的優勝者聰哥(Blitzchung),認為暴雪不應屈服於中國以強硬態度抑制言論自由的政策,還說全球已有不少暴雪玩家因此事而抵制暴雪,希望暴雪能夠支持言論與思想自由等美國價值。
提供許多網路服務的MediaLab上周宣布將買下北美傳訊程式Kik Messenger。
由加拿大業者Kik Interactive在2010年發表的Kik Messenger,曾立志成為西方的微信(Wechat),它在2016年時曾創造3億名註冊用戶,且有4成的美國青少年都使用該程式。然而,Kik Interactive在日前宣布將結束此一已發展9年的傳訊程式,以專注於新興的加密貨幣Kin,MediaLab的出現則讓Kik再現生機。
在接手Kik之前,MediaLab旗下已有兩款程式,一是匿名社交平台Whisper,另一則是混音帶分享平台DatPiff。混音帶通常是歌手所錄製的測試專輯,它與正式專輯最大的不同在於缺乏完整的規畫,所蒐錄的多是創作者天馬行空的作品,迄今已有超過1,500萬的註冊用戶。
MediaLab表示,未來該公司將持續開發Kik,但會著重於改善程式的速度及可靠性,也會致力於減少程式臭蟲與機器人訊息,並期待在未來整合Kin加密貨幣。
至於仍與美國證券交易委員會(SEC)纏訟中的Kik Interactive則會繼續與SEC抗戰,並投入Kin的發展。
Kik Interactive執行長Ted Livingston也在上周宣布已替Kik找到新家,雙方簽署了合作意向書,但尚未完成併購。雙方都未公布此一交易的財務細節。
讓開發者可以在Android裝置中執行C/C++程式的NDK(Native Development Kit)開發工具集,釋出了最新的r21測試版本,不只更新了工具鏈以及系統需求,也改進預設項目提高安全與效能表現,Google也提到將會每年釋出長期支援版本,而NDK r21則是第一個長期支援版本。
最新的Android NDK版本更新GNU Make到4.2版,該版本提供--output-sync功能,可避免輸出與錯誤訊息交錯顯示,現在ndk-build會預設啟用此功能,而GNU Make版本更新也修正了在Windows上的CreateProcess錯誤。GDB也更新到了8.3版,修正英特爾CPU除錯的錯誤。
LLVM也有更新,所有元件包括Clang和lld等,採用了新2019年7月10日之前的主分支r365631,libc++則使用更新的版本r369764,除了修復許多舊版本的臭蟲之外,最重要的修正是在Windows上使用多執行緒連結時,LLD不會再失去回應。其他更新還有OpenMP現在可以當作動態函式庫使用,且由於Google改進了驅動程式,每個建置系統需要的編譯配置數量也大幅降低。
Android NDK r21在預設情況下,靜態程式碼分析工具Fortify會在使用ndk-build或是CMake工具鏈檔案的時候啟用,Fortify可以對標準函式庫進行額外的檢查,更快地發現臭蟲,減少安全問題的發生。另外,這個NDK版本有新的最低系統需求,繼Android Studio和SDK之後,NDK也不再支援32位元Windows,Linux用戶則必須至少使用glibc 2.17或更高版本。
Google現在為開發者提供支援時間長達一年的長期支援版本,針對需要穩定性但是不需要新功能的用戶,長期支援版本會有較長的Beta測試周期,並且在隔年長期支援版本發布之前,能夠持續獲得錯誤修正,發布的時間會落在一年中的第四季。非長期支援版本,發布的節奏會跟目前的發布流程一樣,主要是新功能集的發布,也只會對重要工具鏈進行錯誤修補。
而針對Arm程式碼的建置,現在預設使用Arm進階SIMD架構擴充Neon,Google提到,舊版本會在特定條件下使用minSdkVersion,但考量目前只有極少數的裝置不支援Neon,因此現在無條件預設啟用,32位元的Arm裝置因此將會獲得效能上的改進,開發者仍然可以在不支援Neon的裝置上應用程式禁用Neon。
中華電信5G聯盟再添新升力軍。中華電信今日(10/21)宣布,Yahoo奇摩母公司Verizon Media將加入其成立的台灣5G產業發展聯盟,成為5G領航隊的一員,未來雙方將聯手把5G實驗網擴大運用在高畫質影音內容、甚至在地AR、VR等應用。
為了加速5G商轉,去年,中華電信聯合經濟部技術處5G辦公室、工研院、資策會共同成立中華電信5G領航隊,集結了超過40家產、學研及政府單位加入,經過了長達1年多的發展,該領航隊共同執行長也是中華電信執行副總林國豐指出,目前聯盟成員已超過50家以上,成員有來自晶片商、模組廠商、伺服器硬體,以及應用與內容服務業者,而Verizon Media則是最新加入的一家大型網路媒體業者。
林國豐表示,這次會和Verizon Media聯手,主要在於相中其在影音娛樂製作、內容創作的優勢,期望未來5G的商轉,除了帶動臺灣資通訊相關產業的發展外,也可以在上層應用以及內容端,能夠借助5G在高速傳輸、低延遲及超多連接的特性,實際帶給消費者不同於以往的全新體驗。
另一方面,Verizon Media的加入,某種程度來說,也和其母公司,也是美國最大電信巨頭Verizon有關,Verizon近來成立了Innovation Labs創新實驗室,專門將5G技術應用在AR / VR頭戴式裝置、物聯網(IoT)和3D印表機,以加速5G應用普及。
Verizon Media亞太區共同董事總經理王興表示,未來也將會把這些創新5G實驗項目,實際在臺灣進行各種5G應用測試,期盼能夠藉由與中華電信在5G技術方面的合作,來帶給臺灣民眾更創新的沉浸式影音體驗。
Verizon Media還在最新發布一分臺灣5G使用意願調查裡提到,多數民眾現今已經做好轉換到5G新手機、服務的準備,並期待相關的應用在明、後年可以普及,至於消費者最期待的5G熱門應用,前3大分別是高畫質影音傳輸(86%)、AR應用意(84%),以及智慧家電(83%)的使用提升。
除了中華電信成立5G領航隊積極擴大5G產業生態系之外,其餘兩大電信也不落人後,例如,遠傳去年底也成立5G先鋒隊,來與中華電信互別瞄頭,先後和宏達電、亞旭、
德國快時尚網站Zalando內部有200個開發團隊,為了支援上千名內部開發者所需的基礎架構資源調度,他們的K8s團隊自行打造了一套KaaS服務(Kubernetes as a Service),來管理目前部署在AWS上的140多個K8s叢集。
Zalando建置這套KaaS有幾個目標,全面自動化維運、不養寵物叢集、高可靠度、自動縮放。在架構上,Zalando採取了成對調度策略(provision in pairs),一次都會同時部署線上環境和非線上環境的叢集。每個叢集都有一個專屬、獨立的AWS帳號(意味著目前有140多個帳號),可建立獨立網路環境的K8s叢集,但是所有帳號的配置工作,都統一由一套客製化Python工具來執行。Zalando也將整套線上環境的叢集配置放上GitHub來進行版本控管,並盡量使用AWS提供的CloufFormation範本快速建立應用程式建置架構。
另外,不論Master節點或Worker節點都用同一套自製AMI映像檔,採用Ubuntu和一套內建了Zalando所有在K8s需要的Docker映像檔。預先定義AMI有助於縮短開機時間來加快叢集擴充工作。另有一個利用PostgreSQL來基礎所建立的集中式Cluster Registry,所有工具都可以透過這個Registry的REST API來查詢。
由Google發起的開源無伺服器專案Knative將不會捐給CNCF基金會。Google Cloud Run產品經理Donna Malayeri在十月初時,在Knative社群宣布了這項消息。她指出,Knative專案成立之初,就一直在討論是否將專案捐出去給基金會,例如像是負責管理K8s的CNCF。不過,Google最近決定,Knative專案將不會捐給任何基金會,仍會繼續開源,但將由指導委員會繼續負責管理。這也意味著,Google將繼續主導Knative未來的發展大權。目前Knative指導委員會成員有7人,其中4人來自Google,另有來自Pivotal、IBM和紅帽各一人。
不過,Google這項宣布後續也引起其他科技業者或社群領袖的批評。例如任職於微軟Azure的Kubernetes專案創辦人Brendan Burns和任職於VMware的K8s另一位創辦人Joe Beda都跳出來大表失望,質疑此舉將有損於Knative的開放性。Joe Beda甚至直指,Istio也有同樣的情況。Donna Malayeri表示,未來幾周將會公布指導委員會的參加辦法,讓更多社群和業者可以參與,另外也會公布更詳細的指導委員會職務和分工。
GitLab派送工程經理Marin Jankovski最近一場演講中,分享了他們剛把Registry服務搬上K8s平臺上,過程中體會的經驗。他認為,擁抱K8s時,不只需要調整線上正式系統,也需要改變工程師的思維。他建議,擁抱K8s之前,工程師必須要具備CI/CD觀念,更聚焦程式碼的品質管理和更嚴格的功能規畫,甚至,他認為,與其花時間導入一套完善的CI/CD平臺,不如先利用現成簡單的工具,快速建立一個CD系統,快速找出現有應用程式的基礎架構。他解釋,CI自動化會讓應用程式的任何弱點都更凸顯,若先改善應用程式的架構體質,有助系統全套遷移到K8s。
而在GitLab的經驗上,Marin指出,擁抱K8s前先導入CI/CD,可以帶來另一個好處是,開發者對「完成」的定義改變了,過去開發人員只要通過程式碼審查就是完成,但這沒有考慮到程式碼部署到不同環境中隨時間變化的情況。「既然現在可以快速完成部署,就沒有理由忽視新異動在測試和正式環境的運作。」所以,像GitLab開發團隊每次部署後,會多等一天觀察,程式碼合併後的影響。
SAP在年度TechED技術大會上宣布,SAP HANA記憶體式資料庫將可以原生支援K8s叢集,預計最快今年聖誕節年正式推出。SAP技術長Juergen Mueller表示,SAP的HANA雲已經演化成微服務架構的服務,這也讓SAP HANA更容易縮放規模,下一步就是在HANA資料庫上也採用微服務來強化擴充性。為了讓SAP產品更容易跨多雲部署,SAP宣布,當HANA資料庫原生支援K8s之後,企業將可以在這個基礎上來部署SAP所有的軟體。不過,因為另外,SAP也表示,將繼續強化對Cloud Foundry的PaaS框架的支援和貢獻。
老牌自動化組態管理軟體供應商Puppet推出了新專案Nebula,用來簡化雲端應用程式的部署工作,其提供了一個工作流程建置器,可以讓管理員定義部署應用程式的每個步驟,管理軟體元件的載入順序到硬體的配置等工作。Nebula提供了建置、配置和部署雲端原生應用程式的單一平臺,目前在公開測試的階段,專注可改善生產力的功能,內建範例工作流程,可以幫助開發者開始部署工作,並支援超過20種熱門的雲端部署工具,包括Terraform、CloudFormation、Helm以及Kubectl等。Puppet強調,使用Nebula可以簡單地編寫部署工作流程,Nebula與原始碼控制儲存庫深度整合在一起,開發者不再需要編寫混亂的bash腳本。
AWS在其Kubernetes服務正式推出支援Windows容器功能,使用者現在可以在Windows伺服器上安裝應用程式,並且與其他Linux應用程式一同部署在Kubernetes上,這項功能同時提供系統日誌、效能監控以及程式碼部署工作管線。Kubernetes在今年3月底發布1.14版本時,開始支援Windows容器,讓使用者可以將Windows節點加入工作節點(Worker Node)或是進行Windows容器調度。AWS提到,目前在叢集中至少需要有一個Linux節點來支援Windows節點和Pod網路,AWS建議用戶可以使用兩個Linux節點來實現高可用性。另外,Windows容器通常比Linux容器大,因此下載和啟動的時間都會更久。
隨著Kubernetes 1.14版支援Windows容器格式後,越來越多通用型容器管理平臺正式支援1.14版,也同時支援了Windows容器。例如容器管理平臺業者Rancher Labs最近宣布旗下K8s管理平臺也開始支援Windows容器,而也可整合到服務網格軟體Istio,新版更提供了更多K8s叢集建置範本,例如可重複使用的Kubernetes配置範本。目前Rancher 2.3版可支援到Kubernetes 1.15版和Docker 19.03版。
責任編輯:王宏仁
更多容器新聞
Gogoro 8月底在桃園推出的共享機車服務GoShare,今日也正式進駐臺北。為了因應臺北更多的短程騎乘需求,Gogoro特別投入了旗下俗稱買菜車的輕型車款Gogoro Viva,提供穿梭都會區更輕巧的車型選擇,預計首三日就要進駐1,000臺,年底前更承諾要達到3,000臺。Gogoro新事業總監姜家煒也表示,最晚將在今年12月底推出與臺北市政府合作的共享機車新服務,不過詳情尚未進一步透露。
GoShare在臺北的新服務,不僅車款有別於桃園使用的Gogoro 2,採用了80公斤羽量級車身搭配74公分座高的Gogoro Viva,讓不同身形的民眾都能駕馭,新服務也有別於桃園車款,還車時不再需要鎖龍頭,讓民眾更方便的牽移車輛,龍頭上也新增了手機架與無線充電設備,讓民眾能邊騎車邊看導航,也不怕手機沒電還不了車。
.jpg)
Gogoro Viva擁有80公斤羽量級車身搭配74公分座高,讓不同身形的民眾都能駕馭。
龍頭上新增了手機架與無線充電設備。
其他原先配備的技術與服務,包括Gogoro自行研發的GTU車輛追蹤系統,能24小時與控制中心保持連線,來回傳數據與定位。比如透過車輛中的防傾倒感應器,一旦偵測到車輛倒地,就會主動關心使用者情形,也能隨時定位車輛位置,來維持各地的機車數量平均分布,並透過每一區的調度團隊維運機車,如換電池、清潔、檢查車體,來確保其乾淨安全。
而Gogoro推出的GoShare App,則能讓使用者查找附近車輛及其電量,來借還車與付款。使用者註冊帳號時,需要掃描身分證正面、輕型機車駕照正反面以及人臉照片一張,以供未來借車時人臉辨識身分時使用。姜家煒表示,有別於先前在桃園的GoShare服務,僅開放具重型機車駕照資格的用戶申請,這次GoShare進駐臺北也開放輕型機車駕照的用戶,大幅降低租借門檻。
GoShare進駐臺北,前三天騎乘Gogoro Viva能享有前15分鐘免費的優惠,還能抽1,000元騎車金。
能夠檢視機車電量,再決定是否預約。
姜家煒也強調,GoShare是一個越用越聰明的服務,其內建的ML技術能分析使用者行為,如透過用戶騎乘的距離長短、次數來推薦合適電量的車子,而當GoShare累積夠多用戶還車地點資料後,也能自動分析出容易停車的位置,來主動推薦給用戶,「尤其在一位難求的臺北市停車,提供這樣的資訊才能解決問題。」
此外,GoShare與其他共享機車競爭品牌最大的不同,是其遍布全臺的GoStation電池交換站,總共超過1480座,能滿足長程騎乘的租借需求。姜家煒表示,就像Gogoro兩天前發起從桃園騎車到臺北免費的活動,如果沒有充電站隨時供電,讓民眾能完整的預期用戶體驗,就不會有人願意長途騎乘。
不過,共享機車服務也引起一些質疑的聲浪。比如尖峰時段的電網(Gogoro Network)負載量本來就較高,要如何因應新一波的共享機車進駐?Gogoro也對此回應,換電高峰時期與騎乘的尖峰時段不一定有重疊,從GoShare後臺資料可以看見不同時段的用電需求,能透過一些機制錯開機車換電與騎乘的時段,比如在晚上離峰時間換電來因應尖峰時段的使用。GoShare運用電網來監控城市的能源需求,藉此達到供需平衡。
其他的疑慮則包括,在3天內導入1,000臺的機車,臺北市的停車格能否負荷其數量?若民眾借還車未停放於停車格,是否會造成更嚴重的交通亂象?又有甚麼機制能進一步解決問題?這也是所有共享機車業者共同面臨的問題。
提到將來是否與臺北市政府進一步合作,姜家煒表示,臺北市的大眾運輸工具發展完善,其公共運輸是站率更是達到42.8%,為全臺之最,所以共享機車的角色,是要去補足大眾運輸工具無法觸及的地方,來更精準掌握城市的移動脈絡,「我們也希望與政府共享運用Goshare網絡蒐集的大數據資料,來落實智慧城市的發展。」
開源建置與測試工具Bazel終於發布了1.0版本,Bazel原本為Google內部使用的工具,在2015年的時候對外釋出Alpha版本,經過了多年開發終於發布了第一個正式版本。Bazel是類似於Make、Maven和Gradle等建置工具,使用高階人類可讀的建構語言,具有跨平臺跨語言的特性,並提供高度可擴展性。
Bazel採用了高階建置語言,以抽象、人類可讀的語言,描述專案建置屬性,Google提到,與其他工具不同的是,Bazel的運作利用了函式庫、腳本和資料集的概念,開發者不需要對編譯器或是連結器,撰寫複雜的個別呼叫。Bazel建置的速度很快,因為Bazel會快取之前已經完成的工作,並追蹤檔案內容和建置命令的改變,未來當專案需要重新建置的時候,Bazel僅會重建更改的部分,開發者還可以使用高度平行化與漸增編譯功能,進一步加速專案編譯的速度。
支援多平臺與多語言讓Bazel成為一個非常靈活的工具,Bazel可以用同一個專案,為多個平臺包括桌面、伺服器和行動裝置,建置二進位檔案以及可部署的套件,Bazel支援Java、C++、Android、iOS以及Go等各種語言平臺,而作業系統則支援Linux、macOS和Windows,無論是哪一種目標語言與平臺組合,開發者都可以用單一命令來建置和測試整專案個原始碼樹。
Google將Bazel設計成高度可擴展的架構,即便處理超過10萬個原始碼檔案,Bazel仍然能維持極高地效率,對於採用持續整合的企業,Bazel可同時處理多個程式碼儲存庫,或是單一但龐大的儲存庫,能支援數萬使用者基礎,Bazel還可以進行分散式遠端執行以及快取服務。
1.0版本主要有三個更新,第一是開始使用語意版本控制,每個重大版本更新中間至少間隔三個月,每個月都會有次要版本更新,第二則是提供長期支援版本,第三則是更全面支援Angular、Android、Java以及C++,新增功能包括遠端執行與快取、標準套件管理器以及第三方相依項目。
目前Google的多項大型開源專案包括Angular和TensorFlow都已經使用Bazel,使用者報告切換使用Bazel之後,測試時間減少3倍,且建置速度提高了10倍。
Google甫於今年10月發表旗艦手機Google Pixel 4,並新增了人臉辨識功能,但沒幾天就被爆出Google Pixel 4/4 XL的人臉辨識解鎖功能就算使用者閉著眼也能成功解鎖,安全堪虞,幾天之後美國科技媒體The Verge取得了Google的回應,指出Google將在幾個月後藉由軟體更新改善該功能。
根據Google的聲明,該公司將新增一個選項,以於使用者睜開眼睛時才能解鎖手機,預計會在幾個月後透過軟體更新來解決。
而現在,若Google Pixel 4用戶擔心有人會趁機解鎖自己的手機,那麼可以啟用安全功能,以要求下次解鎖時需要輸入Pin碼、解鎖圖案或密碼。
儘管受到「閉眼也能解鎖」的衝擊,但Google依然強調Pixel 4的人臉解鎖符合作為一個強大生物特徵的安全要求,也能用在支付與行動程式的身分認證上,包括金融程式在內,足以對抗像是戴面具之類的無效企圖。
相較之下,蘋果的Face ID人臉辨識功能在使用者啟用後,預設值是「使用Face ID需要注視螢幕」,因而能防範在睡覺時被別人解鎖,但使用者也可以關閉此一選項。
從2002年開始,市場研究機構Gartner針對企業轉型,提出即時企業(Real-time enterprise,RTE)的概念,點出了往後十多年企業發展的目標。他們認為,RTE能夠利用即時更新資訊,逐漸消除關鍵業務流程的執行與管理上的延遲,讓企業能夠取得競爭優勢,而當時盛行的各種應用系統,像是商業流程管理系統(BPM)、資料倉儲(Data Warehouse),也不斷強調這個概念,希望減少反應時間、增進資訊透明度、降低成本,而受到企業廣泛重視。
時至今日,雲端服務、大數據、人工智慧等應用,掀起新一波數位轉型浪潮,許多IT廠商不斷告訴我們應該要向Uber、Airbnb等新創公司學習,積極採用科技、擁抱共享經濟模式,但總覺得仍無法具體突顯差別。不過,最近在AWS舉辦的年度企業轉型大會臺北場,我們聽到該公司全球企業戰略負責人Philip Potloff,提出了新的解釋,透過高頻企業(High Frequency Enterprise)的理論,說明了領先企業正要朝向的發展目標。
首先,他提醒大家注意:數位化比例高的確是現況,但不代表全部的企業,都能夠以毫無畏懼、可彈性擴展規模的方式,來回應數位破壞式創新需求;相較於傳統、更迭步調緩慢的企業,實際導入「高頻」作法的企業,可獲得價值的頻率將大幅提升。。
不過,企業運作頻率的高低,Philip Potloff認為取決於三點:如何決定持續工作的方式、如何組織工作、如何構築這樣的應用環境。舉例來說,低頻企業的系統,功能龐大且漫無章法地延伸,大家都不知道能帶來哪些價值,使用的軟體與導入的業務流程,也不夠靈活;而高頻企業的系統,會透過持續進行的優先順序排列作業,以及後端事件記錄的驗證找出相關性,突顯尚未完成的工作項目,以便儘快執行,同時,也應運用護欄式(Guardrails)而非閘道式的自動化控制,持續縮短交付時間。
該如何成為高頻企業?Philip Potloff認為,要從四大關鍵領域著手:將工作予以區分、投入資源來培養工作力、把僵化的流程審批程序自動化、要能構建系統而非止於組裝。
首先,所謂的工作區分,對於IT系統而言,是拆解為多個微服務。關於這部份作法,我們已有許多報導,也是當代IT顯學。
在第二項領域中,企業需將工作力放置在靠近顧客的服務上,要懂得運用「所有」的技術典範,像是敏捷開發、DevOps持續整合/持續交付、容器/微服務等,而不只是宏觀地採用部分重點技術,例如,基礎架構自動化、虛擬化、大數據。因此,為了具備這樣的能力,企業的團隊勢必要重新學習新技能,並在人力重新編制時,需以替顧客提供更多價值為依歸,並非從系統來考量。
在工作力的編制上,Philip Potloff認為,應從傳統的「專案(Project)」角色編組、各司其職,提升為產品(Product)取向的敏捷式運作,亦即透過小型、分散的團隊來提升工作靈活度,而且,對於所構築的系統或服務而言,擁有者須身兼維運者。
關於第三項自動化,他建議,企業應以自動化控制取代既有的守門式過濾;而在作業程序上,如果系統處於完成的狀態,他認為,應儘快發布、上線。
最後一項式關於系統的構建,Philip Potloff提醒,對於系統遭受到攻擊與出現故障的可能性,企業必須要有意識,隨時作好準備。例如,要有對應的實驗、將法規遵循與資安需求整合進去,同時,要讓「安全性」與「可靠度」的落實,成為每個員工的職責。
整體而言,所謂的高頻企業,比起早先出現的即時企業,列出更具體的目標與實作建議,並結合當代IT認可的新作法,而不只是搭建應用系統,單純讓企業對於業務變化的反應更即時。也由於高頻企業納入永續發展概念,在數位轉型整體策略上,我認為,有了更完整的規畫,值得大家參考。
英國國家網路安全中心(National Cyber Security Centre,NCSC)與美國國安局(National Security Agency,NSA)在本周出版一聯合報告,指出俄羅斯駭客集團Turla盜用伊朗駭客集團OilRig(APT34)的攻擊工具,還入侵OilRig的攻擊架構與命令暨控制(C&C)伺服器,並對全球逾35個國家展開攻擊,且他們相信OilRig渾然不知自己被駭了。
根據該報告,Turla在2017年底就盜用了OilRig所開發的Neuron與Nautilus工具,以及基於ASPX的後門程式,再佐以自己的Snake Rootkit發動網路攻擊,該俄羅斯駭客集團的攻擊行動主要在於間諜行為。
Turla先在已被Snake危害的系統上部署來自OilRig的工具,之後再於全球掃描被ASPX後門程式攻陷的系統,再利用這個缺口部署Neuron與Nautilus,估計至少有來自35個國家的各式系統已被植入ASPX。這意味著有許多先被OilRig攻陷的系統,隨後也引來了Turla。它們涵蓋政府、軍事、科技、能源與商業組織,而Turla的目的則是在竊取這些組織的智慧財產。
此外,Turla也入侵了OilRig的攻擊架構,盜走OilRig的資料、鍵盤紀錄、受害者名單、工具,以及存取其架構的憑證,甚至直接從OilRig的C&C伺服器發動攻擊。
由於NCSC與NSA並未公布或者是尚未辨識Turla上述行為的時間點,所以並不確定其先後順序。
有鑒於韌體成為今日惡意程式下手對象的情形愈來愈普遍,微軟周一宣佈透過和硬體廠商合作推出具新安全功能的Secured core PC,防止電腦遭韌體惡意程式駭入。
根據美國國家標準與技術研究所(National Institutional Standards and Technology, NIST)的國家漏洞資料庫數據,過去三年內韌體漏洞成長了5倍。這是因為韌體是用於發動裝置硬體,比OS 或hypervisor具有更高存取權限,而成為駭客眼中的好目標。攻擊韌體可以突破Secure Boot和其他OS及Hypervisor軟體實作的安全功能,在系統被駭時難以偵測到。此外,由於韌體位於OS之下,端點防護軟體看不太到韌體層,使惡意程式更容易躲藏。2018年底,安全研究人員就發現駭客組織Strontium駭入韌體漏洞散佈惡意程式。
事實上,微軟早就實作韌體惡意程式的防護。Windows 8起,微軟推出Secure Boot技術來防止利用UEFI(Unified Extensible Firmware Interface)韌體的惡意開機程式和rootkit。但是這項技術的前提是信任韌體來驗證開機程式,因此無法防堵駭入受信任韌體漏洞的惡意程式。為此,微軟和電腦製造商及晶片業者合作設計更進階的硬體安全計畫,稱為Secured-core PC。
利用AMD、Intel及高通晶片新的動態可信度量根(Dynamic Root of Trust for Measurement,DRTM)功能,Windows 10 Secured –core PC開機將經過一個「系統防護安全啟動」(System Guard Secure Launch)的過程,藉此防止韌體攻擊的開機行程。當系統開機時,處理器的DRTM啟動並呼叫Windows 開機程式,使系統進入可信任、經驗證的code path,之後再立刻運用韌體啟動系統。微軟指出,Secure Launch機制旨在減少對韌體的信任,能更有效防堵入侵韌體的網路威脅。
這種設計也能確保hypervisor實作的虛擬層安全(virtual-based security,VBS)的完整性。之後VBS就可靠hypervisor和OS其餘部份隔離開來,防止有惡意程式利用權限升級破壞虛擬層的安全性,進而確保微軟Windows Defender Credential Guard這類防護,後者可保護OS身份驗證,以及HVCI (Hypervisor-protected Code Integrity)政策被惡意程式竄改,造成敏感資料外洩等危害。
微軟也透過和PC廠商合作Secured-core PC,鎖定涉及處理敏感資料的特定產業,像是政府、金融及健康照護業推出更高階的PC產品。這類PC搭載的Windows 10 Pro除了現有內建防火牆、Secure Boot、檔案層資料外洩防護功能、TPM(Trusted Platform Module)2.0 之外,再加入Secure Launch機制。
目前參與Secured-core PC計畫的PC品牌包括Dell、Dynabook、HP、Lenovo、Panasonic及微軟Surface。