16年前，正值網際網路興起的高峰，痞客邦刊出了第一篇部落格文章。16年後的今天，累積了8.1億篇文章，涵蓋食、衣、住、行各類生活議題，每天還不斷產生2億筆用戶行為資料。Pixnet研發中心副總經理黃凱澤笑說，如此龐大的數據，就是最大優勢，「我們要用這個優勢，成為臺灣食衣住行最具權威的嚮導。」

十年醞釀數據煉金，一年轉虧為盈

誕生於2003年的痞客邦，是Pixnet優像數位媒體旗下最成功的服務之一，更是臺灣最老牌、最受歡迎的社群網站，不僅坐擁上億篇吃喝玩樂部落客文章，這個數量每天還在增加中。根據國際流量排名網站Alexa，痞客邦造訪流量僅次於Google和YouTube，是臺灣第三名。

人氣如此旺盛的痞客邦，雖然替Pixnet帶來響亮名聲，卻沒辦法交出亮眼的成績單。好幾年來，公司營收並不理想，而自痞客邦上線以來，內部也一直醞釀著，要利用大數據分析來開發新服務的想法，但一直沒有採取行動，遲遲猶豫是否要從部落格平臺營運商，轉型為大數據分析公司。

直到6年前，公司面臨極大的營運壓力，Pixnet執行長周守珍卻毅然決然決定，要投入數據人力、成立資料團隊，來發展大數據分析平臺。「當時，大家內心很忐忑，」黃凱澤解釋：「因為發展新服務，不只是人員、業務的調整，而是要投資一大筆錢來重整IT基礎架構，根本不知道能不能回本。」

即便如此，團隊還是如火如荼地執行了。這個大數據平臺的目標很簡單，就是鎖定痞客邦網站訪客和部落格文章，分析這兩者的特徵，挖掘出訪客興趣、找出社群趨勢，來進行加值服務，比如推薦文章、廣告或商品等。

數據分析系統建置之初，黃凱澤表示，團隊先以痞客邦部落格分類機制為基礎，人工定義了138個指標（Index），比如年紀、性別、興趣等，再進一步以自然語言處理（NLP）方法，將部落格文章自動分類到相對應的指標，同時也針對訪客行為特徵來分類，再推薦文章給擁有同指標的訪客。

「但是，興趣會隨著潮流快速改變，指標失準的速度越來越快，甚至不到2個月就不適用了。」黃凱澤指出，這個現象，讓團隊不得不放棄人為定義指標的方法，改採關係網路分析（SNA），透過演算法來計算訪客本身以及與文章互動的參數，將擁有相似行為、興趣的訪客群聚在一起，形成獨特的興趣群，並根據群的鏈結，自動產生該群的興趣名稱，比如美白、饅頭、生酮飲食等。「慢慢地我們不需要人為介入，純粹以數據看數據，不必每3個月就校正一次，」他說。除了用更精準的方法來挖掘社群趨勢，團隊還透過10種演算法來推薦內容。

在應用層面上，大數據分析平臺從興趣挖掘出發，用來推薦部落格文章之外，還能根據特定受眾，衍生出廣告推薦、商品推薦、市場趨勢分析等應用。「數據分析平臺上線隔年，企業營收就由負轉正。」Pixnet也在接下來幾年，陸續推出獨立的社群商務服務、廣告行銷服務平臺，以痞客邦經年累月的巨量資料為基礎，瞄準精準行銷市場，量身打造出口碑調查、消費者行為剖析、廣告投遞、行銷建議等服務，行銷操作的細緻程度，遠勝於傳統只靠網站曝光度的效果。

如果痞客邦的巨量資料是石油，那麼這套大數據平臺，就是Pixnet的數據石油煉金術。

重整IT儲存架構，積極上雲搶攻即時分析

為進行大量資料分析，Pixnet在資料儲存架構上也有自己的設計。黃凱澤指出，起初，團隊將資料分別儲存於AWS Redshift雲端資料倉儲，以及本地端機房的儲存系統。其中，Redshift存放了超過百億筆的使用者瀏覽記錄（Log）等分析性資料，而本地機房則是儲存網站資料的元資料（Metadata）。

當時採取這個設計的考量是，研發團隊希望將主要資料和較常更新的資料存放於本地端資料倉儲，而需要後續分析的資料，則轉移到Redshift上。

不過，隨著時間推進，越來越多業務講求即時分析、即時行銷，這讓原本Pixnet的儲存架構，越來越難滿足速度的要求。「以前，大數據分析平臺以分析離線資料為主，」黃凱澤表示，這些作業通常從半夜2點開始，分析前一天的網站瀏覽資料，早上產出深度分析報告，作為當天內容推薦的參考。

但是，「現在要進行即時內容推薦，不可能花一天來分析。」他強調， Pixnet的目標是，即便單日高達2億筆訪客瀏覽資料，也要在20秒內完成每位訪客的貼標、分類，然後精準推薦內容。

於是，近幾年，團隊重新調整了儲存架構，將資料儲存分為3部分，分別儲存在Google雲端平臺（GCP）、本地端儲存系統，以及Google的BigQuery數據分析倉儲，要借重雲端大數據平臺的內建功能，來縮短架設基礎架構時間和資料分析時間。

在資料配置上，原本網站的元資料、部落格文章及圖片等，仍舊存放於自家內部機房。至於原本存放於Redshift的分析性資料，現在搬遷到了GCP。黃凱澤表示，BigQuery提供的數據分析工具，可以讓資料分析、模型訓練等作業更便利，再加上內建完善的基礎架構，團隊不需要重新建置，就能快速使用。

不只如此，就連在查詢（Query）速度上，也有顯著的差異。他舉例，假設團隊要從過去1個月（相當於60億筆）的訪客瀏覽記錄中，查詢特定資料，透過MySQL資料庫須花上整整1個月才查得到；但透過BigQuery，「幾10秒就完成了，」再再突顯速度的差異性。

雖然BigQuery帶來即時分析所需的快速與便利，但也所費不貲。黃凱澤話鋒一轉指出，傳統機器雖然慢，但容易計算使用的資源成本。相比之下，雲端服務雖然快，卻難以衡量運算資源，導致團隊在使用初期，產生了極大成本。

後來，他發現，雲端費用與資料儲存位置有關，經過1、2個月嘗試，黃凱澤制定出一套資料儲存機制，根據資料特性來分別梳理，再儲存至對應的位置，才逐漸降低了使用成本。

專職資料分析團隊，不只懂數據還要讓數據說話

即便資料分析技術再厲害，也要搭起向外溝通的橋樑，才能釋放資料分析的價值。─── Pixnet研發中心副總經理 黃凱澤（攝影／洪政偉）

有了儲存架構的調整，Pixnet發展大數據的另一關鍵，就是新設的資料分析團隊。這個團隊由12人組成，隸屬於研發中心，下設3個小組，分別是資料工程小組、演算法小組、資料分析小組。

就工作職掌來說，資料工程小組負責後端作業，包括架構處理、資料梳理等，負責將痞客邦一天產生的上億筆資料，進行梳理、存放至對應的資料倉儲中，打好資料分析的基礎。

接著，就輪到演算法小組出場。這個小組的目標，是要利用這些處理過的資料，來設計、開發模型，並要安排產出後的模型資料存放位置。

再來，就是黃凱澤今年初指定成立的資料分析小組。「這個組很特別，因為小組成員兼具數據背景，以及業務領域背景，來負責對外溝通。」他解釋，Pixnet許多業務，是以研發團隊的大數據分析成果為基礎，需要懂數據的人來解釋才有效果。但過去，對外溝通由後端資料工程師負責，「他們對機器、架構等工程領域較為熟悉，對數據解讀較不拿手，」因此與其他部門溝通時，常顯得力不從心。黃凱澤坦言，這也是他上任後遇到的最大困難。

後來，為改善這個問題，他設立了一個「角色超然」的資料分析師小組，做為橋樑，來與內部業務部門溝通，必要時也會向外部客戶解說，「以對方聽得懂的語言，來解釋數據分析的結果。」

不只如此，為更進一步強化溝通效果，資料分析小組還採用了開源視覺化工具Gephi，將社群興趣資料的分析結果，以畫面和影片方式呈現，將資料視覺化，讓聽眾更容易理解。

舉例來說，資料分析團隊曾探索對美食感興趣的目標受眾，當時，資料分析師就利用Gephi，從痞客邦整體的社群興趣星雲中，鎖定出對食譜非常有興趣的社群星群。這些社群同樣由密密麻麻的小點凝聚而成，群中的每一點，代表一位使用者，點上顯示著年齡和最顯著的興趣，只要與其他點擁有共同興趣，就會產生連結；要是點與點顏色相同，就表示強大的連結力。

這個方法，有助於鎖定內容投遞的對象。因為，「同一個產品需求，來自許多受眾，」黃凱澤解釋，比如從痞客邦的食譜族群中，還能延伸出美食、減肥、生酮飲食族群，甚至是癌症，要是投遞相關內容，就可鎖定這些族群。

對Pixnet來說，資料視覺化之後，不只可以彰顯示資料分析的價值，更能讓數據自己來說話。

多方探索AI可能性，目標要成為食衣住行權威嚮導

不只在大數據分析上下功夫，這幾年，研發中心也在探索AI的各種可能。比如去年，研發團隊打造一款美食語音問答機器人，爬梳站內15萬篇餐廳美食文章，利用國產的中研院自動斷詞工具CKIP，以及Google語音辨識系統，整理出2,500家餐廳名稱、400多萬個句子、3千多個關鍵字，以及7萬多個食物名稱，並用這些資料和遷移學習，來訓練聊天機器人AI模型。這款聊天機器人的準確率達92％，團隊也持續優化中。

另外，研發中心也聚焦另一個AI領域：電腦視覺。黃凱澤指出，痞客邦不只有巨量文字資料，還有數十億張的影像。於是，團隊利用站內大量美食圖片，來訓練AI模型，學習辨識餐廳環境和菜單。雖然仍處於研究階段，黃凱澤透露，模型已能準確辨識餐廳內外部，以及特定料理，比如義大利餐點等。

之後，Pixnet還考慮運用這個模型，設計一套自動選圖工具，可以在進行內容推薦時，不只能自動選出符合敘述的照片，還要能挑出部落格中，人氣最高的圖片作為代表。

Pixnet從6年前跨入大數據分析事業至今，黃凱澤揭露，未來還要往一條龍服務商邁進。他指出，痞客邦擁有大量美食、旅遊、美妝和3C等內容，每天吸引許多訪客瀏覽；在他看來，「每一次瀏覽，都代表使用者的潛在需求，」比如查看自由行文章的訪客，可能計畫出國，對住宿、機票等就可能感興趣。

瞄準這一點，研發中心正強化即時推薦演算法，不只要快速推薦精準的內容，還要包辦使用者搜尋、瀏覽、評比的需求，甚至要在痞客邦站上，直接提供消費、訂位功能，打造一站式服務，「要成為臺灣最具權威的生活百科嚮導。」

CTO小檔案

黃凱澤

Pixnet研發中心副總經理

學歷：臺灣大學資訊工程研究所博士

經歷：曾任訊舟科技總經理、凌通科技（凌陽集團）IC設計處處長，於2018年加入Pixnet，擔任研發中心副總經理一職，帶領研發中心開發AI與大數據分析產品面，要提供更好的使用體驗。另一方面，也積極與交通大學、成功大學等學術單位進行產學合作交流。

公司檔案

Pixnet優像數位媒體科技

● 地址：臺北市中山區民生東路三段51號12樓

● 成立時間：2003年

● 主要業務：以社群為核心，發展痞客邦社群服務、PIXinsight大數據分析系統、廣告行銷平臺PIXmarketing、社群商務服務PIXgoods

● 網址：www.pixnet.net

● 員工數：約150人

● 執行長：周守珍

● 研發部門名稱：Pixnet研發中心

● 研發部門人數：47人

● 研發部門分工：分為平臺組、行動組、網站組、前端組、SRE組、軟體測試組、研究組。平臺組負責Pixnet旗下各產品的功能開發，研究組成員包含大數據資料工程師、演算法工程師、資料分析師，負責大數據資料分析及AI演算法。

研發部門大事記

● 2006年：成立技術研發部，由全端工程師負責開發、營運各項平臺產品

● 2010年：設置平臺組、軟體測試組、前端組、行動組等

● 2013年：投入人力開發大數據分析平臺PIXinsight

● 2014年：社群大數據平臺PIXinsight正式上線

● 2016年：中心成立研究組，負責資料分析、AI演算法研發

● 2017年：社群商務服務PIXgoods上線

● 2018年：全新痞客邦上線，推出會員經驗值制度

● 2019年：痞客邦App與廣告行銷平臺PIXmarketing上線，成立資料分析師小組

關於React這套網頁框架，是從16.8正式支援Hooks，不再建議使用類別，而是使用函式來定義元件。換言之，在函式的開頭，我們可以透過鉤子「勾取」必要的狀態與副作用邏輯，到了後續的流程中，再進一步定義無狀態的使用者介面（UI）呈現邏輯。

React最想要的是？

在先前專欄〈高效的虛擬DOM？〉中，我曾經談過，React的核心設計就是「狀態一有變動，就用新畫面取代舊畫面」，React鼓勵使用無狀態元件（Stateless component），具體而言，就是本身沒有state特性，也不根據自身狀態建立UI的元件，這類元件透過props的資訊建立UI，也就是使用JSX描述UI，並從元件的render方法傳回。

由於元件僅透過props的資訊來建立UI，如果透過類別元件（Class component）來定義，就顯得小題大作。

而React其實很早就支援了函式元件（Function component），也就是使用props->UI的函式形式來定義元件。例如：

function Welcome(props) {
return <div>Hello, {props.name}</div>;
}

無狀態、無副作用的純函式（Pure function）是React最想要的元件定義方式，當元件以純函式表示時，就可以善用函數式設計，將函式組合為想要的功能。

然而，由純函式所定義出來的元件，並不支援componentWillMount等生命周期方法，也因為函式元件沒有狀態，必定在某個地方有副作用，像是：取得、變更狀態，將狀態資訊轉換為props、傳遞給函式元件，因而純函式元件目前無法完全取代類別元件。

重用類別元件邏輯

為了能夠管理狀態、副作用，以及支援元件的componentWillMount等生命周期方法，React從最早使用React.createClass，到後來的ES6支援類別語法，都是使用類別的概念來定義元件，React.Component幫開發者們定義了必要的方法與特性，接著，開發者繼承React.Component、定義this.state、使用setState等方法等，來定義生命周期、狀態等邏輯，最後透過render來傳回UI描述。

然而，定義在不同類別中的生命周期與狀態邏輯，可能出現相似甚至重複的程式碼，React早期還在使用React.createClass時，曾透過Mixin來解決，卻容易發生名稱衝突、耦合性高等問題，因而被認為是有害的作法，到了現在，運用ES6類別語法下，自然也不再能使用Mixin。

由於ES6類別語法本質上是個函式，有些開發者想到：可以將類別元件傳入函式，該函式傳回新的類別元件，而這類函式稱為高階元件（Higher-Order Component）。

在概念上，它們與可接受函式並傳回函式的高階函式相同。而在本質上，高階元件傳回的部分是個包裹器，傳入的元件藉此可重用包裹器中定義的邏輯（可參考〈Higher-Order Components〉（bit.ly/36tAY3T））。

另一個重用類別元件邏輯的方式是Render Props，開發者可在類別元件的JSX，定義函式特性（通常命名為render），在類別元件具有可重用的邏輯，並透過props取得該函式，將必要的資料傳入，以取得函式傳回的UI描述，這部份可參考〈Render Props〉（bit.ly/2JQ4CGK）。

無論是高階元件或Render Props，本質上都是以組合來代替繼承，也確實可以解決類別元件邏輯重用的問題，然而，實現上需要大量的程式碼，而且各自有容易形成嵌套、回呼堆疊的問題，在UI元件複雜的情況下，維護上就會發生困難。

把狀態（副作用）勾進來！

React後來推出Hooks，由框架直接支援的狀態（副作用）邏輯重用方式，開發者一開始依照React的期許，使用純函式開始設計元件，在需要狀態或副作用時，透過Hooks勾進來：

function Welcome(props) {
const [width, setWidth] = useState(100);
return <div width={width}>Hello, {props.name}</div>;
}

useState就是Hooks，也就是React提供的鉤子，具體來說，就是個不純的函式，以useState來說，是用來勾取狀態，100是狀態預設值，傳回值是陣列，第一個元素是最新的狀態值，第二個是改變狀態的方法，通常結合事件使用，若透過該方法設定新的狀態，就會重新呼叫Welcome，傳回新的UI描述。

單看Hooks的使用方式，我們所得到的第一印象，是它隱藏了類別元件中this.state、setState等細節，使得（不純的）函式元件比類別元件簡潔，這確實也是目的之一；然而，更重要的是React規定，狀態的勾入必須在函式的開頭定義──關於這部份，我們可參考〈Rules of Hooks〉（bit.ly/32dmdP7），之後，再根據勾入的狀態、props等，以無副作用的方式來定義UI描述。

在Hooks的規則下，函式就有了分界──界線以上的部分是具有副作用的邏輯，以下的部分是無副作用的元件邏輯。

這樣的模式，令函式元件從純函式演進為不純的元件時，可以是個漸進、易於重構的過程，而不像以前，須大費周章地定義類別、重新搬移相關邏輯至對應的位置。

React的鉤子，在慣例上，是以use名稱開頭，React目前也提供了幾個常用的鉤子。例如，useContext用來支援基於Render Props的API，令實現Render Props得以簡化；useReducer用來支援Redux架構，可以勾取狀態與dispatch函式；useEffect用來實現具有副作用的流程，在類別元件中放在componentDidMount等生命周期方法中的程式碼，可以放在useEffect中實現。

事實上，React的鉤子，就是封裝了狀態、副作用邏輯的函式，如果不純的函式元件當中，有清楚的界線，對於界線以上的副作用邏輯，若發現多個元件間有相似或重複流程，可以自行封裝為新的鉤子，這就解決了使用類別元件時不易重用副作用邏輯的問題。

畫清「純」與「不純」的界線

關於Hooks的規則，令人聯想到不少開發者對純函數式語言的誤解。

一般而言，純函數式語言中並非沒有副作用，而是純函式與副作用的函式之間，有著明確的分野，在含有鉤子的函式中，狀態、副作用等的勾取，以及與純函式元件間，也有要有明確的界線。

Hooks的寫法經常被用來與類別元件相比較，以突顯採用Hooks風格的簡潔，然而Hooks其實是個新的思考方式，使用上不用具備類別元件的知識，過去對React熟悉的開發者，反而要忘了類別元件的使用方式，別試圖在學習Hooks的過程中，逐一比對兩者的差別。

重要的是，應遵照React的期望，以撰寫純函式元件作為開始，必要的時候再定義不純的函式，於開頭使用適當的鉤子，之後交由純函式元件來產生UI。如此一來，不單只有函式元件，具有副作用的鉤子也有機會封裝而獲得重用。

1128-1204一定要看的資安新聞

＃GDPR

臺灣有望2020年獲得GDPR適足性認定

圖片來源／李靜宜

在去年5月歐盟GDPR上路後，國家發展委員會（國發會）在行政院指示下，已經成立個人資料保護專案辦公室，並成為個人資料保護法的法律主政機關，且在參考歐盟相關文件後，完成歐盟GDPR適足性評估報告，並於同年12月，將評估報告送交歐盟。近日，國發會副主委鄭貞茂在一場論壇中，透露了申請GDPR適足性認定的進展順利，將有望在2020年獲得GDPR適足性認定，一旦臺灣通過，將可讓臺灣境內企業自由與歐盟間進行個資跨境傳輸。鄭貞茂並表示，這對臺灣企業來說，可以不用各別與歐盟申請符合GDPR規範，降低許多企業的成本。更多內容

＃Docker安全　＃挖礦程式

駭客掃描網路Docker植入挖礦程式，還會修改設定與留下後門

圖片來源／擷取自Bad packets's Twitter

愈來愈多關鍵應用搬上Docker，因此這樣的容器環境成為駭客下手的目標。Bad Packets近日偵測到，駭客正在網路上掃描曝露出的API，利用工具Zmap掃描TCP 2375埠、2376埠、2377埠與4243埠，一旦找到受害系統的API，就會利用API端點啟用Alpine Linux容器，執行指令，進而安裝Monero挖礦程式XMRig，並且還會企圖關閉已知的防火牆及其他安全防護。而另一家資安業者SandflySecurity公布的分析則顯示，駭客還會留下後門帳號、SSH金鑰，以及變更主機設定，以便未來更方便控制及存取主機。資安業者建議，用戶應儘速關閉Docker API傳輸埠，並刪除掉所有不認識的容器。更多內容

＃通用弱點列表

CWE公布2019年最危險的25個軟體錯誤

圖片來源／CWE

由美國國土安全部旗下的科學暨技術局（S&T）負責管理，並交由非營利的研發機構MITRE經營的「通用弱點列表」（Common Weakness Enumeration，CWE），當中彙整了最常見、也最嚴重的軟體錯誤，可能導致軟體出現重大安全漏洞，被視為改善網路安全彈性的重要工具。今年，CWE首度把過去兩年來約2.5萬個安全漏洞的分析結果，也納入評估，共有25個2019年最危險的軟體錯誤（2019 CWE Top 25）。其中，第一名為記憶體緩衝區界限內操作的不當限制（CW-119），第二名為網頁生成過程出現不當的中和輸入，衍生各種跨站程式攻擊漏洞（CWE-79），第三名則是不當的輸入驗證（CWE-20）。更多內容

＃網釣攻擊　＃木馬程式　＃飯店業

鎖定飯店POS竊取客戶信用卡個資，駭客發動網釣攻擊以植入木馬程式

圖片來源／卡巴斯基

卡巴斯基揭露駭客發動網釣郵件攻擊，專挑飯店POS系統與知名訂房網站植入木馬程式，以竊取消費者資訊及信用卡資料，最新的一波攻擊中，全球已有20家飯店遭到毒手，其中8家位於巴西，其他則散見於歐洲、南美等10國。

卡巴斯基GReAT研究小組指出，他們在2015年首次發現的木馬程式RevengeHotels，在2019年有活動升高趨勢，入侵手法主要是透過電子郵件散布假造的Word、Excel或PDF文件，像是報價單。一經員工開啟，附件中的惡意程式即利用微軟Office舊有的CVE-2017-0199漏洞，透過VBS和PowerShell scripts載入POS系統，並安裝惡意程式。更多內容

＃勒索軟體　＃醫療領域

提供110家療養院服務的IT業者VCP遭遇勒索軟體

醫療服務供應商已成為勒索軟體攻擊最大宗受害族群，資安部落客Brian Krebs近日專訪了一家正遭遇勒索軟體的業者，名為Virtual Care Provider（VCP），他們是美國110家療養院的IT服務供應商，負責維護8萬臺電腦與伺服器。根據VCP負責人暨執行長Karen Christianson表示，該公司在11月17日被駭客植入Ryuk勒索軟體，導致VCP代管的所有客戶資料被加密，並且幾乎影響VCP所有核心服務，從網路服務、電子郵件、病患資料存取、客戶帳單系統、電話系統，連自家的薪資系統都被牽連。由於勒索贖金高達1,400萬美元的比特幣，該公司無力支付，正在盡全力恢復系統，否則不只自己可能倒閉，還可能連累客戶關門大吉，甚至危及療養院的病患。更多內容

＃假新聞

臉書遵循新加坡的假新聞法，標註被政府視為假新聞的貼文

新加坡政府在11月下旬，指稱政治評論網站States Times Review對該國政府的報導不實，因而要求該網站更正，但對方拒絕在臉書粉絲頁上更正此一消息，使得新加坡政府轉而要求臉書處理，而臉書則是依照當地《線上虛假與操縱法案》（Online Falsehoods and Manipulation Act ，POFMA）的規定，在該文章的下方作了註解，而這樣的作法也讓外界議論紛紛。

對此，臉書表示，該站是受到POFMA的正式要求，必須讓當地民眾知道新加坡政府認為這是個不實資訊。新加坡政府也透過官方的事實查核網站澄清了該新聞，解釋了文章中的不實指控。而該網站創辦人曾是新加坡居民，現為澳洲公民，他認為，新加坡政府會繼續濫用POFMA法案。更多內容

＃資安標準

BSI揭露2019下半年最新國際資安動態

圖片來源／BSI

今年的英國標準協會（BSI）舉辦的國際資安標準年會上，他們揭露了2019年的國際資安現況觀察，以及資安隱私標準的新趨勢。其中，BSI臺灣總經理蒲樹盛指出，根據今年道瓊永續指數（DJSI）年度調查，增加網路安全和系統穩定性，以及隱私保護兩個題組，這也意謂著，評比機構對資安管理與隱私保護的重視程度，將變得明確。對於隱私保護的管理，BSI指出新版BS 10012最具參考的指標，而今年新公布的隱私保護管理ISO/IEC 27701標準也是重點，結合了參考與驗證要求，他們並說明了企業導入時需注意的重點。更多內容

＃資安意識推廣

政府透過4大競賽活動向學生與全民推廣資安概念，今年一系列活動吸引破萬人數參與

圖片來源／擷取自2019資安系列競賽網站

為推廣全民資安意識，以及加強大專校院學生資訊安全技術能力，並藉由活動宣導資安訊息，由行政院資通安全處與教育部指導，行政院國家資通安全會報技術服務中心主辦的「108年資安系列競賽」，近日宣布正式落幕。今年舉辦的一系列活動，包含資安技能的金盾獎、資安影片的故事微電影、資安畫作的海報，以及資安知識競賽「CS資安防衛戰」。其中，金盾獎首度開放國高中學生報名，本屆共有131隊參賽，資安知識競賽則是今年首度舉辦，藉由PaGamO平臺進行線上知識問答，期望透過遊戲的方式，增加民眾參與活動的興趣，並提升資通安全意識。而這次舉辦的各項競賽活動，總共吸引了14,082人報名參與，其中新推出的資安知識競賽，就有10,111人報名，大幅提升這一系列活動的參與規模。更多內容

＃光子、量子加密通訊

臺灣量子加密通訊技術新突破，專家深入剖析其系統設計與原理

攝影／羅正漢

隨著運算能力遠超現代電腦的量子運算技術出現，現在看似安全的密碼，將能在極短時間內被破解，資安出現新的隱憂，而量子技術的另一發展道路──量子通訊加密，則是實現密碼安全的作法。目前國際上，對於量子電腦、量子通訊都已研發相當多年，為了讓臺灣可以跟上國際在量子技術的發展，去年開始，科技部將量子技術列為優先補助的項目之一，並協同教育部共同成立前瞻量子科技研究中心。最近，該研究中心的清華大學團隊宣布，已經打造出量子加密通設備原型，在今年7月，已經成功測試25公里室內光纖量子加密通訊，今年9月，更是實現4公里的戶外光纖量子加密通訊。這也意味著，臺灣現在也能自主掌握此一領域的關鍵技術。

在他們打造的這套系統中，主要利用雷射衰減到一顆顆「光子」，也就是光的最小組成粒子，來傳遞加密所需要的密碼，並配合差分移相協議，做到絕對安全的密碼產生與傳輸。更多內容

＠更多資安動態
Android漏洞可讓合法app被冒充執行，已有30多款惡意程式開採作亂
簡訊服務供應商TrueDialog的雲端資料庫沒遮攔，帳號、密碼、簡訊內容全曝光
Google揭露多個由政府資助的攻擊與虛假訊息行動
研究人員假冒美國鎮長取得.gov網址

AWS推出機器學習整合開發環境Amazon SageMaker Studio，開發者可以利用整合視覺介面撰寫程式碼、追蹤實驗、視覺化資料，並進行除錯和監控。AWS提到，Amazon SageMaker Studio是第一個專為機器學習設計的整合開發環境。

SageMaker已經發展了一段時間，但AWS認為，機器學習的工具相對於服務仍然不成熟，使得機器學習開發工作流程不夠順暢，許多功能像是除錯器、專案管理、協作和監控等功能，在傳統軟體開發中都有相對應的工具，但是在機器學習中卻沒有。

而這使得機器學習的開發受到阻礙，像是當開發新演算法，或是調整超參數的時候，研究人員通常需要在Amazon SageMaker中進行大量的實驗，不過因為沒有適當的工具支援，因此開發人員需要手動管理這些實驗，而隨著模型的發展，追蹤工作只會越來越困難。

為此，AWS開發Amazon SageMaker Studio整合所有機器學習開發所需要的工具，而且由於機器學習流程的追蹤，都在同一環境中進行，因此開發人員可以在各步驟中來回切換，還能複製、調整和重播，提供開發人員快速調整進行迭代的能力，縮短機器學習解決方案開發的時間。

Amazon SageMaker Studio總共包含了數項主要功能，包含Notebooks、Experiments、除錯器、模型監視器和Autopilot。Amazon SageMaker Notebooks目前仍在預覽階段，是AWS提供的增強版Jupyter Notebooks，可讓用戶創建和共享Jupyter Notebooks，不需要管理基礎設施，還能快速地切換到不同的硬體配置。

用戶可以使用SageMaker Experiments來組織、追蹤和比較不同的機器學習工作，這些工作包含訓練、資料處理和模型評估，讓用戶可以方便地進行實驗。除錯器（下圖）則能讓用戶除錯和分析複雜的訓練問題，該功能會自動檢查用戶的模型、收集資料並進行分析，提供即時警示和建議。

模型監視器則可以偵測已部署模型的品質誤差，在需要的時發出警示，並以視覺化的方式呈現誤差。Autopilot則能自動建構模型，包括自動選擇演算法、資料預處理、模型調整以及控制基礎設施，而在自動化建置的過程，還給用戶完全的控制和可見度。這項服務目前只先在美東的俄亥俄州地區開放。

AWS推出預覽版全託管Cassandra資料庫服務（MCS），具有可擴展且與Apache Cassandra相容的特性。用戶要管理大型Cassandra叢集並不簡單，除了需要對Apache Cassandra深入了解的專業知識外，用戶還需要手動增加或是刪除節點，並重新平衡分區，讓應用程式具有要求的效能。

AWS提到，使用者通常會讓叢集一職保持最大容量以應付尖峰需求，因為要縮小Cassandra叢集很複雜。而且要更新Cassandra叢集又是另一項障礙，用戶需要每個節點逐一操作，在更新時發生問題，便很難備份或是還原叢集，用戶可能會為了省麻煩，跳過修補程式或是執行過時的版本。

而MCS則是無伺服器服務，用戶可以依使用的資源付費，該服務會根據應用程式的流量大小，自動縮放表格，MCS能應付各種大小的流量，都能以相同個位數毫秒的延遲提供服務。MCS預設加密用戶多靜止資料，用戶可使用KMS服務中的加密金鑰，也能使用IAM整合管理表格和資料的存取。

用戶可以在MCS直接使用現有的Cassandra應用程式程式碼，Amazon MCS實作Apache Cassandra版本3.11 CQL API。目前MCS在美東維吉尼亞北部、美東俄亥俄州、歐洲斯德哥爾摩、亞洲新加坡和東京公開預覽。

重點新聞（2019/11/28～2019/12/04）

  AWS    混合雲    本地部署   

歷時一年，AWS正式推出雲外帶機櫃

在AWS年度大會re:Invent登場的同時，AWS宣布，正式推出整櫃式主機AWS Outposts。AWS Outposts可以讓企業在自家資料中心部署一套AWS原生基礎架構，或者是一套VMware Cloud on AWS平臺。該主機會支援具或不具本地儲存選項的Amazon EC2實例，包含C5、M5、R5、I3en和G4系列，還會支援RDS、ECS、EKS、SageMaker和EMR。AWS強調，AWS Outposts基礎架構由其交付、安裝、管理和監控，用戶不需手動管理、升級和修補本地端的基礎架構。用戶若要訂購Outposts，需登錄管理控制臺AWS Management Console，即可從預先驗證的Outposts配置中，選擇符合需求的Amazon EC2和Amazon EBS容量組合。現階段，AWS Outposts可於歐盟國家、瑞士、澳洲、日本和韓國，安裝和操作。（詳全文）

  一級方程式集團    AWS    賽車   

F1斥資租用公雲裸機服務，5.5億數據點模擬計算只要18小時

一級方程式集團（F1）近日宣布，租用公雲裸機服務，來進行車輛設計的流體動力學計算，模擬新一代賽車行進中空氣動力學的性能。F1使用雲端伺服器託管服務Amazon EC2的C5n實例，執行了6個月的時間，獲得設計新款賽車的參考數據。F1斥資租用了逾1,150個運算核心，才足以模擬一輛賽車空氣動力學的尾流對另一輛賽車的影響，這樣的複雜模擬需要執行超過5.5億個數據點。F1表示，透過雲端擴充能力，模擬時間可減少7成，從60小時，大幅縮短為18小時。現階段，一輛車與前方車輛保持一輛車的距離時，下壓力損失可達50%，而根據此次模擬獲得的分析結果，可設計在相同的車距下，下壓力損失降至15%的車輛。F1計畫將分析結果將作為2021年賽季賽車的設計依據。（詳全文）

  臉書    IG    服務斷線   

臉書、IG服務感恩節當日出包逾5小時

臉書、Instagram 和Messenger在美國感恩節當天，11月28日一早發生系統問題，影響全球多國用戶存取服務，持續超過5小時。許多用戶表示，遭遇連線不穩或無法登入等情況，影響範圍遍及美洲、歐洲和亞洲，包含臺灣在內。美西用戶多抱怨連線斷斷續續，而臺灣用戶則表示無法登入。臉書則在美國感恩節一早，透過推特公告表示，許多用戶發生無法存取臉書旗下多個App，該公司正著手排除問題。經初步調查，此次服務斷線事件是因臉書一臺中央軟體系統出現問題，導致用戶無法正常存取應用App。此次事件為臉書近來第二度出包，10月底臉書、IG和WhatsApp也曾斷線數小時，不過WhatsApp此次未受波及。（詳全文）

  Vodafone    電信   上雲   

Vodafone決定將數據分析平臺搬上Google雲

英國跨國電信龍頭Vodafone日前宣布，搬遷自家雲平臺至Google雲，日後將使用Google即時分析工具，為企業客戶開發新服務，並簡化分散於24國的運營商的維運工作。該平臺稱作Neuro，主要用於數據分析、商業智慧和機器學習，待搬遷上Google雲後，Vodafone將統一多個資料來源格式，並進一步將現有軟體轉換為雲端軟體，使各服務市場在不中斷既有作業的前提下，即可利用新平臺的功能。另外，該平臺還會利用其他Google雲端服務，像是Dataflow、Cloud Composer、BigQuery等，並開發新一代商業智慧平臺，以跨部門、跨市場各門市比較績效。（詳全文）

  旅館業    上雲    AWS   

跨國連鎖旅館集團基礎架構1年內要全面上AWS

全球有逾4,700家飯店的美國跨國連鎖旅館集團Best Western Hotels & Resorts近期宣布，自家基礎架構將全面遷移至AWS，聚焦將流程自動化，還有加快個人化體驗的開發速度。該品牌計畫於2020年底前，完成各應用程式的搬遷工程，像是飯店預訂系統、客戶獎勵平臺、全球客戶服務中心等。飯店預訂系統將使用資料庫服務Amazon Aurora和資料倉儲服務Amazon Redshift，以提高運算容量，因應旅遊旺季出現的爆量流量高峰，更快速地處理世界各地的訂房需求。

另外，Best Western計畫使用雲端客服中心Amazon Connect，提供全球客戶訂房服務，再加上使用自動語音辨識服務Amazon Transcribe和自然語言處理服務Amazon Comprehend，以將語音轉換為文字，並掌握客戶需求的分析結果，進而提供客製服務。而Amazon SageMaker和Amazon Forecast等AWS機器學習服務也在計畫使用列表上。（詳全文）

  媒體    影片串流    Azure    

直播正夯，微軟Azure媒體服務可為影片串流加上即時字幕

微軟於11月底，為媒體服務Azure Media Service新增即時語音轉錄文字的功能，強化影音串流資訊與觀眾的觀看體驗。新增的語音轉錄功能是該服務第三版API加入的預覽功能，為用戶自行可開啟的選項，開發者可在任何服務之下的即時事件中啟用。當即時影音串流送到Azure媒體服務後，該服務會擷取串流中的音訊，並且進行解碼，接著呼叫Azure認知服務語音轉文字API來轉錄語音，之後，根據開發者使用的媒體串流協定，決定產生的文字應選用的格式，再打包後交付。開發者可以使用Azure媒體服務提供之API，擷取、轉碼、動態封裝和加密即時影音，再整合CDN服務，同時播送直播給數百萬民眾觀看，目前，行動裝置iOS和Android接可支援播放該服務轉錄串流的影片。不過，這項服務現僅在West US 2地區開放預覽。（詳全文）

  Google雲    日誌    瀏覽器  

Google雲端用戶現可用VS Code直接瀏覽Stackdriver日誌

不久前，Google強化Cloud Code操作Stackdriver日誌的能力，用戶現可以在程式碼編輯器Visual Studio Code中直接瀏覽日誌。Cloud Code為Google提供用戶的Visual Studio Code擴充套件，目的是讓用戶更快速地開發、部署和測試雲端應用程式，待內建了日誌瀏覽器後，開發者只要開啟該功能，就能夠查看所有Stackdriver上的日誌。該功能以結構化的方式提供日誌，並且以操作Stackdriver Logging的方式，讓用戶編輯過濾器，篩選想要查看的訊息。

若用戶需要查看更詳細的資訊，也能從Visual Studio Code整合開發環境回到Stackdriver Logging，同時安裝過濾器。另外，新的瀏覽器還提供多種過濾器、串流以及時區轉換等功能，以及提供日誌組織圖，用戶可以在Visual Studio Code中過濾和搜尋日誌，Google也預告，日誌瀏覽器將會支援kubectl日誌。（詳全文）

  微軟    物聯網    模擬器   

微軟推出獨立的Azure物聯網邊緣運算模擬器

微軟近期釋出新一波Azure物聯網工具的更新，其中，可免除開發人員設定Python環境的，是獨立的Azure IoT Edge模擬器。有別於過去需在Python環境才可在本地端建立、開發、測試、執行以及除錯Azure IoT Edge模組和解決方案，現在，開發人員只要透過這個獨立的模擬器，就能執行Azure IoT EdgeHub開發工具。微軟表示，並非所有使用Windows作為開發環境的Azure IoT Edge開發人員，都會安裝Python和Pip，因此決定在最新版Visual Studio Code的Azure IoT工具中，整合這個獨立的模擬器，讓使用Windows作為開發環境的開發人員，不再需設定Python環境。同時，微軟也更新了其他工具，讓單一C++函式庫管理器Vcpkg支援IoT隨插即用開發，而容器化裝置工具鏈現在則可配置嵌入式裝置。（詳全文）

圖片來源／AWS、一級方程式集團、Downdetector、微軟、Google雲端

  更多Cloud動態  

1. AWS推出Amazon Detective用於調查工作負載中的安全性問題 （詳全文）

2. Amazon Aurora現整合AWS機器學習服務，用戶可直接在關聯式資料庫應用ML （詳全文）

3. IBM雲原生軟體產品組合新增Cloud Paks Security，為來自各種來源的資料搜索威脅（詳全文）

4. AWS推ServiceLens視覺化監控服務，以圖表現分散式應用程式與相依關係，並整合了金絲雀測試（詳全文）

5. AWS前進南歐，西班牙雲端服務區域2023年上旬前啟用（詳全文）

資料來源：iThome整理，2019年12月

Google於本周宣布，Google Play上的Android程式，已有高達8成的比例都藉由（Transport Layer Security，TLS）協定來加密傳輸流量。

加密的流量可防範中間人攻擊，避免所傳輸的資料遭到竊聽與竄改，Google先是在2016年釋出的Android 7提供了網路安全配置（Network Security Configuration），讓開發人員得以配置行動程式的網路安全政策，繼之於2018年發表的Android 9（Android Pie）把TLS傳輸設為程式的預設值，而現在已有高達8成的Android程式預設值，就是採用TLS加密傳輸。

不管是Android 9或10都以TLS傳輸作為程式的預設值，因此，鎖定這兩個版本的Android程式，採用TLS傳輸的比例更高達90%。

此外，有鑑於Google規定自今年11月1日起，不管是新程式或是更新的程式都必須至少要支援Android 9，使得Google相信採用TLS的Android程式比例只會有增無減。

至於少數尚未採用TLS的程式，通常是開發人員因特定需求而自行變更設定的結果。為了避免開發人員無心的錯誤，Google還在最新版的Android Studio與Google Play的正式發布前測試報告（pre-launch report）中，針對未採用TLS的程式提出警告。

國際研究暨顧問機構Gartner昨（4日）在臺揭露2020年十大策略科技趨勢預測，包括超自動化、自動化物件、專業知識全民化、透明化與可溯性 、AI安全性，以及分散式雲端、更強大的邊緣運算、人體感知強化、多重體驗，以及實用性區塊鏈等。其中，Gartner大中華地區資深合夥人龔培元建議，為進一步加深數位轉型，臺灣CIO應著重超自動化，善用RPA並打造企業組織的數位分身，來進行數位化營運（DigitalOps）。 

臺灣CIO應著重超自動化與自動化物件這兩大趨勢 

首先，超自動化（Hyperautomation）指的是，善用多種機器學習模型、套裝軟體和自動化工具，來完成工作流程。 

龔培元指出，超自動化可分為三個階段，首先是利用RPA，串聯起不支援API的老舊系統，達到任務自動化後，再透過智慧企業管理系統（iBMPs），執行流程自動化。接下來，則是利用AI等技術，打造企業組織的數位分身（也就是一個虛擬的企業），再利用實際取得的營運數據，來模擬各項業務表現，再將模擬產出的資訊，作為實際營運的參考，形成數位化營運。 

此外，龔培元指出，自動化物件（Autonomous Things）也是臺灣企業推動數位轉型時，應注意的面向。自動化物件，泛指機器人、無人機、自駕車／船／飛機，以及智慧裝置等，以超出規則式設計的型態，自然地與周遭環境互動，並能相互協作。他認為，企業利用相互協作的裝置設備，可大幅降低重複性高、需人力的工作成本。 

隨著AI門檻降低，透明度與安全性意識逐步提高 

近年來，不只大科技龍頭紛紛釋出低門檻的AI開發、訓練和部署工具，許多中小型企業也投入這片領域。Gartner指出，明年一項重要趨勢，就是專業知識全民化，透過完全簡化的體驗，一般人不須接受密集且昂貴的培訓課程，就能取得專業知識和技術，像是AI、應用程式開發，甚至是商業領域的專業知識，比如銷售流程、經濟分析等。 

Gartner也預測，到了2023年，專業知識全民化將特別在4個領域快速發展，分別是資料分析、AI應用程式開發、低程式碼或無程式碼的設計，以及知識全民化，也就是非IT人員透過工具和專家系統，能夠應用超出自身專業能力的專業知識。 

雖然AI開發和資料分析工具快速普及、門檻逐步降低，卻也引起資料安全隱憂。Gartner認為，2020年，透明性與可溯性會是一大趨勢；同時，Gartner也預測，至2023年時，75％的大型組織將雇用AI專家，來確保顧客隱私與信任、降低企業風險。 

龔培元解釋，透明性與可溯性是指為符合監管要求、使外界信任企業的一系列技術與措施，也是企業開發道德AI的關鍵。 為此，Gartner進一步定義出6項信任核心，給企業參考，分別是資料驗證時，須具備的誠信（Integrity）、道德（Ethics）， 以及審核階段的公開性（Openness）、可究責性（Accountability），還有在說明資料來源時，須具備權限性（Competence）與連貫性（Consistency）。 

另一方面，與之相關的還有AI安全性。Gartner預測，至2022年時，有三成的網路攻擊，會發生在AI模型的訓練資料中毒、模型竊取，以及造假的證資料樣本（Adversarial Samples），使AI模型無法通過驗證、進入部署。對此，Gartner建議企業的風險管理主管，應聚焦於三大領域，也就是保護AI系統、利用AI強化資安防護，以及做好攻擊者惡意使用AI的準備。 

從混合雲過渡到分散式雲端，驅動邊緣運算增長 

隨著資料分析需求大增，支援運算的雲端架構也會有所改變。Gartner預測，明年將出現分散式雲端（Distributed Cloud）。Gartner資深研究總監呂俊寬解釋，分散式雲端指的是，集中式公有雲服務將分散到不同地點，比如IoT裝置、邊緣裝置等，並負責這些端點設備的雲服務維運、管理和更新等。雖然如此，他點出，這些實體設備的維運、管理和擁有權等，仍屬於企業。 

另一方面，由於運算資源越來越普及、資料儲存量日趨龐大，Gartner認為，明年將出現更強大的邊緣運算，而且，至2023年時，超過50％企業所產生的資料，會在資料中心或雲端以外的地方來處理，遠高於今年的10％。 

龔培元進一步解釋，時下的邊緣運算多為靜態流程，且採階層式架構來處理資料，比如從端點，再到雲端、企業資料中心；然而，Gartner預測，未來5年的邊緣運算，將會是適應性流程，且為霧式或網式架構（如下圖），也就是每個端點、雲端和企業資料中心可互相溝通，而且分散式雲端將應用於邊緣裝置。 

Gartner指出，明年，還會掀起多重體驗（Multiexperience）風潮，包括AR、VR、MR，以及對話式平臺的應用。Gartner分析，使用者體驗從2000年代的網際網路開始，邁入2010年的智慧行動裝置，利用雲端、API等技術，發展出App經濟、智慧型穿戴裝置。 

但在2020年之後，將以邊緣運算、無伺服器和AI增強的系統，來發展對話式、沉浸式等多重體驗，比如利用MR來模擬室內設計成果，或是透過AR來強化零售服務。 

同樣地，Gartner指出，人體感知強化（Human Augmentation）也將是股重要趨勢。呂俊寬說明，人體感知強化可分為實體強化和認知強化，比如，利用特殊隱形眼鏡、碳纖維義肢、人體晶片等，來增強人體機能；或是利用電腦系統、多重體驗介面，來加強人對資訊的認知能力。 

最後，Gartner也點出，明年將出現更多實用性區塊鏈案例。龔培元表示，區塊鏈去中心化、不可竄改的特性，可在商業生態間建立信任、進行跨業務的價值交換。比如，資產來源追溯、食品供應鏈追蹤、身分管理，或是利用智能合約，來自動觸發系統，直接執行交易，比如確認收貨時，即可自動付款。 文◎王若樸

繼微軟之後，AWS應用機器學習技術也推出程式碼導師服務CodeGuru，用來自動審查程式碼，其包含可靜態分析程式碼的Reviewer，以及動態分析程式的Profiler，可找出用戶程式碼中最耗費資源的部分，並提供最佳寫法的建議。

CodeGuru由Reviewer和Profiler兩部分組成，CodeGuru Reviewer是以規則探勘和監督式機器學習模型訓練而成，模型結合了邏輯回歸和神經網路，可用來偵測AWS API和SDK的使用，與最佳實作的差異，標記可能產生問題的寫法，像是批次操作的錯誤處理或是執行緒不安全的類別等。Reviewer會尋找程式碼變更，並且同時探勘文件資料進行交互參照，在審查程式碼時，產生新的模型，為用戶程式碼提供最佳實作的建議。

另外，CodeGuru Profiler則會針對問題，像是過度重建耗費資源的物件、進行耗費資源的反序列化、使用低效能的函式庫，或執行過多的日誌記錄等問題，提供具體的建議，讓用戶修改程式碼以降低CPU使用率、運算成本，甚至是改進易用程式效能。

CodeGuru Profiler代理會在生產環境中持續執行，不停地尋找應用程式中耗費大量資源的程式碼，但代理僅會占用少量的CPU容量，不會明顯地影響應用程式效能。用戶可以安裝小型代理程式分析應用程式，並在CodeGuru控制臺中進行控制。

AWS提到，他們內部已經使用CodeGuru最佳化了8萬個應用程式。AWS以龐大的程式碼庫訓練CodeGuru機器學習模型，除了使用內部數十萬個專案之外，還用了GitHub中超過10萬個開源專案的程式碼。目前CodeGuru僅支援Java應用程式，而其他程式語言的支援則會在後續釋出。

而CodeGuru是依照Reviewer審查的程式碼行數，以及Profiler執行的時間來計費。Reviewer每掃描100行程式花費0.75美元，而Profiler則是跟著應用程式運作，採樣在Amazon EC2執行個體、ECS、EKS以及AWS Fargate執行的應用程式，其CPU利用率和延遲等資料。

每個應用程式分析的計價，會根據Profiler採樣時間來計算，一個採樣小時等於Profiler代理在執行個體上執行1個小時的時間，因此當應用程式在兩個執行個體上執行，兩個執行個體都執行Profiler代理1個小時，則採樣時間會計為2小時，一個月前36,000小時每小時0.005美元，36,000小時以上就不再額外收費。

紐約時報的記者今年深入中國新疆的圖木舒克（Tumxuk）進行調查報導，指出中國科學家正協助當地政府利用血液中的DNA樣本來重繪人臉，恐將它們併入中國的人臉資料庫，以強化其監控能力，特別是受到鎮壓的維吾爾族。

根據中國《南方雜誌》的報導，中國擁有全球最大的DNA資料庫，內含逾8,000萬筆DNA數據，而紐時則說，中國官方已蒐集了數百名維吾爾族的血液樣本，且當地的科學家企圖利用這些樣本來繪製人們的長相。

以DNA樣本來重建人臉仍處於早期的開發階段，目前的成效只能用來縮小範圍或排除嫌犯，尚無法納入年齡及體重等變數，但可揭露性別與血統。不只中國對於相關研究有興趣，美國警方也曾利用DNA來判斷殺手的皮膚、眼睛顏色及髮色，而成功讓嫌犯認罪。

只是中國的作法令人起疑，例如官方是透過健康檢查的名義取得人民的血液樣本，但並未說明其用途；另一方面，中國的科學家則受到公安的委託，協助官方把維吾爾族的DNA樣本化成臉孔，其中的兩名科學家或者曾經接受歐洲組織的研究基金，或者擔任歐洲大學的教授。

這也讓愈來愈多的科學家及人權運動家提出指控，聲稱中國政府利用國際科學社群的開放性進行基因研究，但應用卻極其可疑。

其實紐時並沒有找到任何清楚的證據，來證實中國如何使用這些血液、DNA樣本或據此所描繪的人臉，但中國公安不僅阻止紐時記者採訪圖木舒克民眾，記者也在準備離開當地的機場遭到盤查，並被迫刪除手機內所有的照片、影片與錄音。

蘋果7月推出的2019年款13吋MacBook Pro部份入門機種，傳出會在電量還很充足情況下無預警關機。此事周三也獲得蘋果證實。

大約8月間有用戶分別在MacRumors和蘋果討論區反映，他們的2019款MacBook Pro在電池電量顯示還有不少電，有人是20%、有人30%時突然關機，有時則是顯示電量忽高忽低，或是沒有電池圖示。

蘋果周三證實此事。根據蘋果技術支援網頁，2019年具有TouchBar、2個Thunderbolt 3傳輸埠的入門款MacBook Pro會持續關機，電腦會在電池顯示還有電時莫名關機。

針對上述用戶，蘋果也提供了暫時解法。檢查MacBook Pro電量，如果超過90%就用到它低於90%。之後將電源線插上，關閉所有開啟的應用程式。接著將筆電蓋闔上讓電腦進入睡眠模式，在這情況下讓MacBook Pro充電至少8小時。8小時後更新到最新版macOS。

由此研判問題可能是出在軟體。目前原因不明，但有用戶指出，出錯的並非電池，而是系統無法正確辨識電池電量，因此光是重設系統管理控制器（SMC）並沒有用。當系統顯示為100%時其實可能不到70%，因此當電量顯示為35%，實際電量應該已降到0%，導致MacBook Pro關機。有用戶建議讓MacBook Pro充電到100%且維持至少2小時，再重設SMC。

Instagram（IG）本周宣布，即日起要加入該服務的新會員通通要提供實際的生日，且將依據各國法令，在大部份的市場禁止13歲以下的兒童註冊該服務。

美國的《兒童網路隱私保護法》（COPPA）要求網站在蒐集及使用12歲及以下的兒童個資之前，必須徵求家長的同意，因此絕大多數的社交網站都要求用戶，必須至少達到13歲才能申請及註冊帳號。

不過，過去IG的作法是倘若用戶確認自己年紀已達13歲就予以放行，並不要求用戶提供確切的生日。現在IG則嚴格要求新用戶必須輸入自己的生日，以避免兒童加入該站，同時也會針對18歲以下的青少年提供更多的保護。

IG表示，生日資訊將只有使用者自己及IG看得到，未來IG也會根據使用者的年紀提供更客製化的使用經驗，像是教導年輕族群如何建立帳號控制及隱私設定等。

此外，IG也將強化其訊息隱私設定，讓用戶可以設定除了自己所追蹤的對象之外，禁止其他人傳遞直接訊息、群組訊息請求或回覆故事。

上述也讓IG得以避免傳送諸如酒精等不適宜的廣告予青少年，不過，此一新的政策只針對該站的新用戶，並未延伸到已擁有IG帳號的10億用戶。

本周在re:Invent大會上，AWS宣佈了自製ARM晶片Graviton 2、新版機器學習模型開發測試環境SageMaker、程式檢查平台CodeGuru等。此外AWS同一天也宣佈了可檢查資料外洩、防止資料竊取、防範線上詐欺及存取控管等4項安全及隱私工具。

之前傳聞許久的Amazon Detective旨在讓企業安全部門，可在其雲端環境發生駭客或惡意程式入侵等安全事件時，進行調查。它會自動蒐集AWS環境中所有log資料，並以機器學習、統計分析和圖論（graph theory）建立起資料關聯，加速調查作業的進行。這項服務整合VPC Flow Logs及AWS現有安全服務，像是AWS CloudTrail、Amazon GuardDuty，以及合作夥伴產品的資料，配合ETL（extract, transform and load）工具進行分析，並將結果統整在單一互動介面呈現，讓調查人員及用戶清楚看到事件發生過程。

其次是Amazon 詐欺偵測（Fraud Detection）。AWS是結合Amazon.com 20年防範詐欺交易的經驗、AWS專家及機器學習的全代管服務，協助零售業辨識可能的線上詐欺活動，像是支付詐騙或假帳號。AWS宣稱，這項服務用戶無需具備機器學習的知識，只要按幾個鍵將交易紀錄上傳雲端，再指定他們遇到過最常見的詐欺行為。Amazon詐欺偵測的AI系統即可據此判斷最適合的偵測演算法，再以用戶資料訓練模型。目前AWS已在美東地區推出預覽版服務。

為了防範駭客進入AWS雲端後掠奪資料，AWS新增了AWS Nitro Enclaves，確保個人可識別資料（PII）、醫療紀錄、金融資訊及研發智慧財產。這項服務利用AWS Nitro同樣的 Hypervisor技術，可在EC2執行個體中建立CPU及記憶體分區達到隔離效果。每個安全區（enclave）都有單獨的VM，用戶必須選擇每個安全區的執行個體種類及配置多少處理器和記憶體。

Nitro Enclaves還提供SDK讓用戶開發安全區應用程式，配合AWS金鑰管理服務對軟體提供加密驗證，以確保只有經授權的程式可在雲端上執行，以及經授權安全區（enclave）才能存取敏感資訊。

最後，AWS還為IAM控制台的新增身分與存取管理服務AWS IAM Access Analyzer功能。它會分析Amazon S3 buckets、AWS KMS（金鑰管理系統）、Amazon SQS（Simple Queue Service）、IAM角色和AWS Lambda功能相關政策，企業可用它來找出違反公司安全與治理規定的資源分享，並定期詳列違規情形。理論上可避免用戶資料流到設定錯誤的資料庫，並滿足GDPR及美國加州消費者隱私法的規範。

AWS指出這項服務利用一種名為自動推理（automated reasoning）的技術，可在幾秒鐘內評估完數百或上千條政策。IAM Access Analyzer包含在IAM控制台中，AWS企業用戶及AWS GovCloud用戶也可透過API免費取得。

協作平台Slack在周三（12/4）公布，該公司截至今年10月31日的2020財年第三季財報，指出該季創下1.69億美元的營收，成長60%，虧損了9,500萬美元，高於去年同期的5,100萬美元，在該季擁有10.5萬家的付費客戶，增加30%，該季Slack的表現超乎分析師預期，盤後股價上漲了1.89%，達22.07美元。

在Slack的財報中，呈現虧損的方式與其它企業不同，例如宣稱第三季的虧損金額佔了總營收的56%，而去年同期的虧損金額則是佔總營收的48%。

另一方面，衡量Slack價值最有力的指標為付費客戶數，根據Slack的統計，該季的付費客戶數為10.5萬，比去年增加30%，其中，有821家客戶替Slack帶來超過10萬美元的年度收入，首度有逾50家客戶所帶來的年度收入超過100萬美元。該公司財務長Allen Shim表示，這代表已有愈來愈多的大型企業採用Slack作為主要的協作平台。

目前Slack最大的競爭對手為微軟的Microsoft Teams，該產品除了有免費版之外，也是Office 365服務的功能之一，微軟甫於日前宣布Microsoft Teams的每日用戶數已突破2,000萬，已經明顯領先了Slack的1,300萬。

在1995年創立的分類廣告網站Craigslist，終於在本周推出該站的首個行動程式，在行動程式已蔚為風潮的今日堪稱是異數。

迄今Craigslist已在全球70個國家的570個城市提供分類廣告服務，協助人們賣東西、租房、仲介服務，還設立了許多論壇，支援英文、德文、德文、西班牙文、荷蘭文、義大利文及葡萄牙文等多種語言。

儘管Craigslist的介面很陽春，且2017年時只有50名員工，不過該站卻是全球最大的分類廣告服務，每月的瀏覽頁數達到200億，但該站絕大多數的廣告張貼都是免費的，只在特定城市的人力招募廣告上收費。而Craigslist執行長 Jim Buckmaster曾向華爾街分析師透露，他們對賺大錢沒有太大興趣，但求協助人們找到汽車、公寓、工作或者是約會的對象。

從成立迄今，低調的Craigslist從來沒有公布過營收，也從未發表過官方的行動程式，但行動程式市集上卻有不少支援Craigslist的第三方程式。

本周現身的Craigslist官方行動程式只支援iOS，將允許用戶直接自行動裝置上張貼、編輯或搜尋廣告，且維持與Craigslist網站一致的陽春介面，目前已是App Store上購物類別中排名第七的熱門程式。

根據美國媒體報導，繼今年9月有14名美國女性指控共乘平台Lyft的司機涉及性侵或性騷擾之後，本周又有逾20名女性向美國法院提出相同的控訴，代表這些女性的律師事務所Estey及Bomberger則預期，未來應該有更多的相關案件浮上檯面。

Estey及Bomberger聯手打造了RideShare Sexual Assault Lawyers網站，專門服務那些透過Uber或Lyft共乘平台叫車，卻受到司機性侵犯的乘客，認為這兩個平台應該替司機的暴力行為負責。

律師團隊指出，Lyft早在4年前就意識到對乘客的保護不周，卻遲遲沒有採取充份的行動，包括未告知乘客有關司機的性侵前科，或是未實際檢驗司機身分，使得持續有乘客受害。

根據Digital Trends的報導，在這些受害者中，約有8成是喝醉了或是處於其它虛弱的狀況下，而遭司機在車內性侵。此外，RideShare Sexual Assault Lawyers已收到超過100件的投訴，預期將會有更多的案件浮上檯面。

另一方面，Lyft也為此祭出十多項安全措施，包括在行動程式中提供緊急按鍵並連結警方，也開設了預防司機性騷擾的課程。

微軟在今年8月釋出的Windows 10 20H1預覽版（Build 18963）中，將原本內建在Windows 10中的記事本（Notepad），獨立成可透過Microsoft Store下載的程式，不過現在微軟改變心意了，在Build 19035中，重新讓記事本回歸Windows 10。

作為Windows 10的內建程式，或是Microsoft Store中的獨立程式，最大的不同在於它們的更新周期，若身為獨立程式，更新周期可以更加地彈性，隨時可以調整新功能，而內建程式則是跟著Windows的更新才更新。

不過，微軟在本周釋出新的Windows 10 20H1預覽版（Build 19035）時表示，現在已決定不將Microsoft Store版的記事本提供給用戶。

假設在舊預覽版中已將記事本釘選在工作列上，升級到新版之後必須重新釘選，同時若有特定檔案指定利用記事本開啟，升級後系統也會要求使用者重新再選擇一次。

外界對微軟此舉的反應兩極，有人建議微軟不如同時提供內建版與Microsoft Store版的記事本，前者只配備基本功能，並藉由後者來造福那些想使用進階功能的用戶；也有人說記事本是個重要的功能，本來就應該維持穩定且經過良好的測試才釋出。

Google發表論文，以深度學習判讀胸部X光片，可分類出四項臨床重要的特徵，氣胸、結節和腫塊、骨折以及氣腔陰影，而精確度與放射科醫生相當。這項研究能夠幫助醫生更精確的診斷病患的肺部狀況，避免因誤診帶來嚴重的後果。

以機器學習幫助疾病診斷的研究越來越多，Google自家的研究，包括在今年早前發表以機器學習判讀肺腺癌組織切片的論文，其精準度已經可達到與病理學家相當的程度，另外，還有機器學習用於前列腺癌以及皮膚疾病鑑別的研究。

現在Google進一步要把深度學習用於偵測更多肺部種類的病徵，不過，與其他的深度神經網路的應用一樣，也遭遇到難以取得足夠標籤資料的困難。Google提到，深度學習需要大量帶有精確臨床標籤的圖像資料集，主要有兩種方法取得這樣的標籤資料，其一是應用自然語言處理從放射學報告而來的圖像，另一種則是仰賴個別讀者的審閱，但這兩種方法同樣都有不一致或是錯誤的問題，特別會影響模型的評估。

另外，圖像集也需要足夠廣泛，才能涵蓋各式病例，而且部分胸部X光照片，並無法代表特定結果，需要與臨床資訊結合才能解讀意義，Google提到，建立具有臨床意義、一致定義的標籤，以及具嚴格參照標準的方法，才能有效地將機器學習技術應用於胸部X光片的解釋。

Google在最新的研究，開發了深度學習模型，用來診斷胸部X光片的4個重要的臨床病徵分類，分別是氣胸、結節和腫塊、骨折以及氣腔陰影，這些在胸部X光片發現的特徵，與重大病情有高度關聯。他們總共使用了兩個未經辨識的圖像資料集，包括來自阿波羅醫院的胸部X光片，以及美國國立衛生研究院的ChestX-ray14圖像資料集，總共約60萬張圖片。

由於圖像數量過於龐大，無法人工手動為圖像上標籤，因此Google還開發了一個獨立的文字深度學習模型，從文字擷取關鍵字為圖像資料集添加標籤，同時還由放射科醫生人工檢視約37,000張圖片，以提高資料集標籤的品質。

Google的這項研究訓練了深度學習模型，可從胸部X光中找出重要的臨床特徵，就模型效能來說，該深度學習模型的精確度與放射科醫生相當，而且總能發現放射科醫生一致忽略的特徵。Google提到，將深度學習系統和人類專家結合的成果，可顯示出人工智慧在醫學圖像解釋應用的潛力。

Google提到，他們為了產生可用於模型評估的高品質參照標準標籤，使用了小組裁決程序，由3名放射科醫師審查最終調校與測試集圖像，並討論解決分歧。Google提到，這個程序解決判斷困難的圖像案例，而且為了避免受醫師個性與資歷產生的偏見影響，這個程序在線上以匿名的方式進行。

而由於缺乏可用的裁決標籤（Adjudicated Label）是這項研究的主要困難，因此Google對社群開放了ChestX-ray14資料集中所有裁決標籤，包括擁有2,412張圖像的訓練與驗證資料集，還有1,962張圖像的測試集，以幫助社群對胸部X光片進行研究。

國內5G的第一波釋照即將在12月10日展開競標，對於是否釋出頻譜供5G專網使用引發的爭議，行政院在今天拍板定案，確定將跟進日本、德國、美國等腳步釋出5G專網頻譜，預計在2021年到2022年間釋照。在此之前，即日起開放外界申請企業專網，進行場域實驗，供未來申請5G專網的評估。

國內首波5G商用頻譜釋照已在進行中，將會釋出3.5GHz、28GHz、1800MHz三個頻段，共計2790MHz頻譜資源，執照期間20年，今年12月10日將展開競標作業，預計在2020年1月完成首波釋照。

而行政院規劃釋出的5G專網頻譜將在第二波釋照中進行，將釋出4.8GHz到4.9GHz的100MHz頻寬，以供5G專網使用，即日起供外界提出申請進行場域的實驗，並預計在2到3年，即民國110年到111年間（2021年到2022年）擇期開放專網執照申請。

行政院科技會報辦公室執行祕書蔡志宏指出，行政院5G專案的頻譜政策，經過內政部、經濟部、NCC、交通部，確認既有的警消業務可持續的前提下，進行必要的移頻作業，供未來5G專網及第二階段商用頻譜釋出。

在政府各單位完成移頻之前，該頻段以和諧共用的方式開放，未來專網的申請將依NCC的干擾處理規範辦理。

5G專網採用目前警消使用的頻段，是否會對警消業務產生影響，蔡志宏解釋未來除了移頻外，也會對警消單位的微波系統進行升級，提升警政消防單位的通訊品質。

對於引發電信產業反彈的5G專網使用收費問題，行政院也確定5G專網使用專用頻譜，申請者需要繳交頻譜使用費，這部份將交由NCC研擬專網申請者的資格、頻譜使用費、應負的資安義務。

其中，頻譜使用費計算將參考相近頻段的行動通訊拍賣底價，以拉近5G專網和5G商用頻譜間的使用成本，算是平息電信業者的反彈。

NCC表示，5G商用頻譜的成本，包括標金及每年繳交的頻譜使用費，未來5G專網為了拉近和商用頻譜的成本差距，將在頻譜使用的單位成本上設法拉齊，包括執照的使用期限、網路的涵蓋面積、頻段特性等方向，已和電信業者交換意見獲得共識。

行政院也公布第二波的5G商用頻譜將在3年後釋出，在中頻段部份，將以4.4GHz到5GHz頻段為主，預計釋出300MHz作為專網及商用頻譜使用，並保留300MHz供警消使用。高頻部份，將會優先評估37到40GHz。

我國5G頻譜規劃（來源：行政院）

蔡志宏表示，第二波頻譜的釋出，行政院僅是提出大致的規劃原則，至於第二波詳細的釋照，仍要看後續頻譜的盤點、整備工作，經過跨部會的協商而定。

為何需要5G專網？

對於我國為何需要5G專網？蔡志宏解釋5G專網應用在特定的目的，為獨立運作的網路型態，和涵蓋全國的商用網路不同，可鼓勵各部門的創新應用，公部門如醫療健康照護、交通都可以，私部門到展館、零售都可以應用。

由於專網是獨立運作，不受塞車影響，能確保服務的品質，提高關鍵應用的可靠度，例如遠端機械的操控或是無人載具的控制。因專網和公用網路區隔，也能避免機敏資料的外洩。

他表示，5G專網有助於公私部門使用，專網和公眾網路區隔，可以避免資料的外洩，5G專網能夠帶來產業、社會、資安三方面，社會效益方面，可解決高齡少子化人力短缺的問題，縮短城鄉間的醫療落差，以及防救災；產業面效益如強化智慧醫療、安防、智慧製造；資安方面，可作為5G專網的資安防護方案驗證平臺。

以醫療為例，透過5G提供偏鄉民眾遠距醫療服務，讓位於城市醫學中心的醫生，遠距診斷、指導，協助偏鄉醫療診所的醫師為當地民眾進行醫療。在工業製造方面，5G專網可用於提升即時傳送感測器蒐集的數據，由遠端的工程師透過AR眼鏡指導現場的人員，或是利用5G傳送8K影像，進行遠距操控挖土機等等。

目前規劃5G專網的國家，有日本、德國、英國、法國、瑞典、美國、新加坡，各國釋出5G專網的時程不一，從2019年到2023年都有。

國防醫學院昨（4日）宣布啟用全臺首間MR混合實境解剖學教室，師生只要戴上頭戴式裝置，就可在現有環境中，觀察擬真、細緻的人體組織構造。國防醫學院指出，這個方式，打破400年來的解剖學學習方式，不只能以360度的立體影像幫助學生學習人體解剖構造，還能輔助國防醫學院培訓的緊急救護人員，加深救護人員對人體生理解剖的了解。未來，國防醫學院的解剖學老師，還要用新導入的頭戴式裝置，根據學生表現與需求，來錄製新課程，提龔精準解剖學課程。

打破400年來解剖學一成不變的學習方法，不再單純靠想像力認識人體

國防醫學院研究發展室主任馬國興指出，近400年來，解剖學的教學方法，一直是透過老師解剖大體，學生在旁觀摩，或是透過平面的繪畫圖，來解說解剖過程及人體構造。

雖然，隨著時代演進，繪畫錯誤率逐漸降低，學生也能夠解剖大體，但是，即便是現代，「學生大體解剖的機會仍有限。」比如，醫學院中涵蓋醫學系、藥學系、牙醫系、護理系、公衛學系和物理治療系等，但並非每個科系都能接觸大體，來建立核心解剖知識。此外，平面和靜態模型教材，「都無法模擬人體的動態動作。」

也因此，解剖教材發生了數位化演進。從第一代以平板電腦為主的平面解剖教材開始，經過了3D的擴增實境（AR）和虛擬實境（VR）應用，現在則更進一步，「國防醫學院導入了融合AR、VR的MR混合實境線上多人教室，來進行互動式解剖教學，提升臨床解剖學的認知。」

MR呈現細部組織構造深淺度，展示人類大體秀不出的重點

馬國興解釋，這套MR系統搭配了HTC頭戴式裝置Vive Pro與3D Organon解剖學教學軟體，內建超過5,500種的人體結構器官、500多組生理動畫、120多套真實解剖圖，「甚至還有500多道VR模擬的美國國家醫師證照考題，來讓學生練習。」而這些內容，都經過國防醫學院翻譯、審定為正體中文和簡體中文版本。

在應用上，舉例來說，學生戴上裝置後，可搭配現有環境，叫出不同的靜態人體模型，藉由互動拆解，來認識人體器官組織的立體結構空間概念。

（攝影／洪政偉）

不只如此，MR系統還可幫助學生理解，書本和人類大體無法教導的深淺概念。國防醫學院生物解剖學科教授江明憲指出，「人類大體是學習解剖學不可取代的，」但是，「初學者難以從大體上辨別特定結構的深淺空間，更不用說平面教材。」

而這些問題，MR教材可以解決。透過360度的視角，以及顏色標記深淺空間，學生可從數百種動態模型中，學習關節肌肉的移動，甚至是心臟的跳動方式，還有平面教材難以解釋的顯微解剖學，就連微小的小腸絨毛、乳糜管、肌纖維、腎絲球體等都清晰可見，突破過去平面教材的限制。

（圖片來源：HTC）

除此之外，這套系統也提供VR模擬考題，讓學生在課前課後，透過虛擬手術檯與虛擬大體，來加強解剖知識。在課堂上，師生也可利用這個功能，切換為MR模式，在真實大體旁秀出虛擬大體，再搭配解剖圖譜、三方對照，強化學生學習人體的相對關係。這個方式，也突破了過去VR的限制，讓學生與老師能夠互動。

江明憲指出，目前學校具備40套頭戴式裝置，而這套MR解剖教學系統，即將於下學期搭配學期課程，正式上線。他也補充，MR解剖教材不只能用來提升學生的解剖認知，還能加強國防醫學院訓練的緊急救護人員，讓這些來自五湖四海的隊員，能更清楚掌握人體結構。

放眼未來，江明憲表示，老師也將透過頭戴式裝置的錄製功能，根據學生學習狀況，來開發更多360度的VR解剖學教材。文◎王若樸