現在企業已經越來越重視資安防護，然而，要如何做好企業內部，以及產品與服務的資安防護與管理，臺灣少有大型企業分享實際經驗與資安團隊建置。在本周舉行的「LINE臺灣技術日」活動期間，針對企業資安防護的作法，LINE GrayLab資安研究室的負責人李丞鎮（Lee Seung Jin，網路代號Beist）公布他們的具體因應作法。

事實上，這幾年來，LINE一直在日本東京舉辦的「LINE與Intertrust資安高峰會」上，持續介紹他們是如何做好資安防護，在12月3日，李丞鎮特別來臺接受媒體採訪，談到更多資安團隊的運作與最新近況，包括建立企業內部的資訊安全教育平臺，以及運用機器學習於資安防護等面向，讓大家更深入了解到LINE的資安團隊建置。

李丞鎮的背景是什麼？去年LINE併購了他創立的GrayHash資安公司，因此現在成為LINE的一員，領導GrayLab資安團隊，負責程式碼審核、滲透測試與資安顧問等工作。而他過去曾經在美國黑帽大會（Black Hat）等知名資安大會擔任講師，分享最新的技術研究，也是亞洲首位進入DEFCON CTF決賽的搶旗攻防競賽選手。（攝影：洪政偉）

打造企業內建專用的資安教育平臺，可適用於一般員工與工程師

這幾年來，LINE已經從單純的即時通訊，進化到整合行動支付、購物、新聞、IoT裝置與通訊的平臺，甚至發展到虛擬貨幣交易所與網路銀行，服務範圍相當廣。他們如何做好企業資安這件事？

李丞鎮表示，隨著LINE的公司規模持續擴大，推出的服務也越來越多，資安團隊需要顧及的對象相當廣，包括LINE在全球有8千多名的員工，還有企業軟硬體與基礎設施，以及第三方產品與服務，甚至委外承包商等。而在這些面向當中，其實有許多的難題要去面對，像是企業內部使用的VPN服務也可能存在弱點，對於供應鏈攻擊手法的防範也相當重要。

若要做好資安，首先要從企業的產品開發生命週期著手，李丞鎮提供了LINE資安團隊的作法，在他們的團隊運作流程，主要涵蓋整個服務發布流程，包含訓練、需求、設計、執行、驗證與發布等六大階段，而每個階段都有相應的資安工作，雖然主要管理流程與一般普遍認知的沒有很大差異，但他特別強調一點，就是LINE的資安團隊會從一開始就與產品團隊共同合作，而且訓練階段也是非常重要的一環。

因此，李丞鎮特別分享了LINE在員工資安訓練的規畫。例如，他們打造了內部的資安教育平臺，稱之為SEP（Security Education Platform）。值得注意的是，在這個平臺中，包含了針對工程師與非工程師的訓練內容，前者著重在自我的安全防護，以及APT攻擊的認知，後者則強調安全程式碼的撰寫。

事實上，對於多數大型公司而言，為了員工教育訓練，內部通常會建立線上學習系統，包含員工專業領域知識，也會放上一些電腦安全相關課程與測驗。而LINE資安團隊的作法，是建立專以資安為主的教育平臺。

從李丞鎮所展示的資安教育平臺介面，我們可以進一步瞭解LINE在訓練內容上的規畫。舉例來說，對於一般企業員工，SEP平臺上提供了8種資訊安全必修課程，包含帳密安全、電腦安全、應用程式安全、資料外洩保護、避免後門、硬碟加密、自動更新與安全密碼等基礎課程；對於網站開發者，這套平臺上也有8種網站開發課程，包括XSS、CSRF、Path Traversal、SQL Injection、命令列注入、演算法、資料加密與傳輸加密等方面的課程。

較特別的是，這個SEP平臺也包含駭客遊戲的競賽挑戰，培養人員對於攻防技術的興趣。在每個競賽題目中，資安人員可以檢視挑戰者的記錄，並察看團隊排名。

對於CEP平臺的建立過程，李丞鎮表示，這些內容都是由資安團隊自行規畫，大約花了3個月時間建立，未來他預計增加更多課程項目，並且將開放外部人員參與，希望能從中得到一些回饋。

對於內部員工資安訓練的規畫，LINE資安團隊近期打造了專門的資安教育平臺，提供針對一般員工與開發者設計課程，並且也有資安攻防技術的競賽挑戰。（攝影：羅正漢）

從服務規畫的一開始就要考量資安

為了在產品開發生命週期更安全，確實地在每一個環節執行資安工作，將是重點。

他舉例，對於每次規畫新服務上線，李丞鎮表示，LINE資安團隊的工作，就是要讓所有相關的團隊都要加入一起討論，而風險管理就是重點。李丞鎮說明，他們會分配各自的腳色與責任，討論攻擊面向與風險管理。並要做到隱私的設計（Privacy By Design）。

在導入與執行階段，資安小組會進行源碼檢測（Security Code Check），像是在白箱測試時，以靜態分析找出不安全的程式碼，以及檢視工具與程式庫的安全性，或是檢查是否使用了舊的版本。同時，他們也會限制開發者的環境，針對Alpha、Beta與正式發布版本採取隔離，並強調不會在開發模式使用真實的資料。不過，他也提到這方面面臨不少挑戰，包括相依性的問題，以及經常使用仍有弱點的函式。

在驗證階段方面，則是包含人工程式碼稽核，以及模糊測試來檢測系統漏洞，包含找出注入攻擊的漏洞、無效身分驗證的漏洞，XML外部實體注入（XXE）攻擊的漏洞、不安全的反序列化漏洞等。他更是強調一點，所有服務要發布之前，都必須經過資安團隊的審核，必須要等到所有問題都要經過修正，才能釋出。在這個階段中，他指出，溝通是相當大的關鍵，他們的資安團度與開發團隊花了相當多的時間，在這一部分進行討論。

在服務發布之後，李丞鎮指出，資安團隊將要持續監控，畢竟產品之後增加了新功能，改變了程式碼，他們可能不會即時注意到，因此要有全天候的模糊測試，並且，他們還會測試所有的API，並與之前的結果比較，以分析是否有問題。

另一方面，資安團隊也必須要有安全事件應變計畫，他提到，LINE具有專門的團隊，因應資料外洩、濫用與任何資安事件，而且，資安團隊也將時常與開發團隊保持聯繫。

由於LINE近年也在提倡DevOps，因此我們也詢問LINE對於DevSecOps方面的看法，他指出LINE目前還沒有這麼做，不過未來也將朝此方向邁進。

未來預計將機器學習普遍用於多種防護情境，節省時間將是最大效益

近年機器學習正夯，LINE的資安團隊同樣利用這項技術，強化防禦的各種面向。例如，過去他們就導入機器學習的自動化機制，攔阻發送垃圾訊息的帳號，之後也應用於偵測帳號劫持攻擊，並建立濫用行為資料庫以機器學習來輔助過濾。

這次，李丞鎮特別說明了他對於機器學習技術的看法。他表示，機器學習用在攻擊面要比用在防禦面容易，例如，若用在防禦上，只要有1%的錯誤率，可能就沒有效用，不過，他認為，機器學習技術會是相當好的輔助工具，因為可以節省很多的時間，這點相當有幫助，畢竟資安團隊的人力還是有限。

因此，雖然LINE將機器學習用於資安防護面的例子還不算多，處於早期階段，不過未來他們的資安團隊，會盡可能地將機器學習技術用於各式場景中，並不斷去調整以做到精準。

另一個LINE資安團隊花很多心力的部分，是在內部開發工具（In-House Tooling）的安全。李丞鎮指出，他們的任務包括黑箱網站安全的漏洞掃描，以及API模糊測試、異常行為監控，對於第三方雲端服務監控也是必須，檢視是否有敏感資料上傳，還要有版權方面的檢查。

無論如何，企業資安防護已是每家公司都要面對的挑戰，在有限的資源下，又要面對眾多的服務與快速開發，而彼此之間現在也都更相互連結，又帶來更多風險，李丞鎮指出，他們資安團隊就是要找出這些問題，並以有效率的方式修復問題，並要能與其他團隊共同協力來完成，他更是強調，在LINE的資安團隊之下，好的溝通技巧已是相當重要的技能。

LINE資安團隊怎麼分工？

在李丞鎮說明LINE資安團隊的任務之餘，我們也詢問團隊的分工，以及隱私工程方面的作為。李丞鎮表示，現在他們的資安團隊共有80人，而且，LINE在今年5月成立了資安中心，將公司內部的資安人員集合在一個單位。在隱私工程的作法上，LINE臺灣資深資安工程師劉威成補充表示，他們內部有專門的隱私團隊，當中具有法律背景的律師，以及專門隱私工程的專家，也有同時懂法律、資訊與GDPR的成員，還有負責研究個人隱私權的人，每當產品上線之前，產品都會經過用戶隱私保護方面的檢查，並有透明化的隱私權說明。

以LINE的資安團隊而言，劉威成表示，目前旗下公開過的分工項目，包括了隱私工程、應用程式檢查方面，並有資料科學家負責機器學習以分析異常，而傳統資安監控中心與緊急應變小組，以及CSIRT與PSIRT也都包含在團隊內，較特別的是，還有針對遊戲方面的保護。

持續耕耘社群活動與漏洞獎勵計畫

關於LINE在資安方面的重視，其實從他們近年發起的社群活動與漏洞獎勵計畫，也能看出他們的積極態度。例如，為了讓資安知識能快速交流傳遞，LINE GrayLab在多國舉辦了Becks資安社群聚會。為了增進臺灣民眾對於這項活動的認識，李丞鎮表示，這項活動分享的知識，可讓學生、開發者、資安工程師與非工程師參與，而今年臺灣也已舉行了5場。

另外，漏洞獎勵計畫（Bug Bounty Program）也是他們持續進行的工作項目，透過外界資安專家的力量協助找出資安漏洞，過去LINE也曾在2017年來臺分享他們的執行經驗。這次，李丞鎮更是指出，該計畫從2015年運作至今，他們收到提報並驗證過的漏洞已有超過200個，帶來更多幫助。特別的是，他還透露已有更多獎勵計畫正在籌備中，像是名為Threat Bounty的計畫，具體細節則待後續公布。

LINE在2018年底就宣布，將提供基於FIDO身分驗證的機制，在今年11月20日舉行的2019 LINE DevDay上，我們注意到當中的議程上提到了更多FIDO應用的發展狀況，像是日本已經開始導入，對此，我們也進一步詢問李丞鎮，這項機制是否也將在明年引入臺灣，他表示，希望在明年就能在臺推動，不過詳細情況則有待後續公布。（圖片來源：LINE）

成立於2013年的美國數位銀行Chime在近日完成5億美元的E輪融資，估計其身價已達58億美元。該公司在今年3月進行2億美元的融資時，市值只有15億美元，9個月以來的身價三級跳，顯示投資人不畏仍處於大幅燒錢階段的新創企業，依然對金融科技抱持高度興趣與信心。

Chime並未建立實體分行，主要透過行動程式提供金融服務，被視為傳統銀行的挑戰者，它並不向用戶收取帳戶透支或維護費用，在去年5月達到100萬帳戶門檻，今年用戶所建立的帳戶數量更成長至650萬，可望在今年創下2億美元的營收。

CNBC分析，Chime成功的關鍵之一為它要求用戶必須開通「直接存款」（direct deposit），以使用更多的優惠功能，直接存款涵蓋了薪資或退休金的直接存入，促使該帳戶成為用戶的主要金融帳戶。

Chime的E輪投資是由DST Global主導，其它參與對象包括General Atlantic、Dragoneer、Access Technology Ventures及Menlo Ventures等，Chime打算利用這些新資金，來擴張員工人數並建立更多的金融產品。

此外，儘管市場傳出包括Google與Uber都對金融科技有興趣，但Chime執行長Chris Britt向Forbes透露，科技公司所展現出的興趣代表這是個非常吸引人的市場，只是該市場迄今仍是由傳統銀行所控制，現在Chime只把傳統銀行視為真正的競爭者，而非可能進入該市場的科技業者。

前一篇文章「微服務設計的十個步驟」，其實是我的一個技術架構方法論（methodology）再經過特定化和簡化的結果。方法論是指為了達到某目標的一套做事情的邏輯。有了方法論，其他人就有了可以依循的規矩和流程，降低事情的難度。

關於「如何設計方法論」，我自己又有一套方法論（又抽象了一層），在這篇文章中分享給 iThome 的讀者。既然這是「用來設計方法論的方法論」，這篇文章介紹的其實是 meta-methodology。

設計方法論，首先你必須要有一個參考模型（reference model）。請注意，參考模型本身就是模型，並不是 meta-model。

以我的微服務設計方法論來說，我先設計出了三維技術模型，這是一個「通用」的技術架構參考模型。這個模型是我多年來演化的結果，使用了三個維度，第一個維度是業務（Business）維度，第二個維度是技術（Tech）維度，第三個維度是維運（DevOp）維度。每個維度又分成數個層次，這三個維度以「笛卡兒乘積」，看起來就像是個魔術方塊。

一個好的參考模型必須做到：1 盡可能通用於許多領域 2. 容易用程式碼實現 3. 功能需求容易設計 4 不會阻礙非功能需求的設計 5. 可以降低後續調整的難度

參考模型和框架（framework）非常類似，但參考模型是虛的設計規範，而框架是實際的程式碼系統半成品。也就是說，一旦你有了參考模型，你接下來就可以往實現框架的目標邁進。請參考本專欄的第六篇「架構能力的四個階段」。

參考模型就像是一個樣板（template），裡面有許多格子，每個格子的分工以及格子之間的通道都已經提前設計好了，大家根據每個格子的描述，往格子裡面填入東西。這就是設計方法論的第二個階段：找出「填入格子」的方法。這個方法的關鍵在於：能夠配合敏捷開發流程，通過迭代的方式遞增式地設計和開發。

我看過的所有架構設計方法，都沒有考慮到和敏捷的相容，這使得這些架構方法都太「笨重」，不太可行。現在的商業環境變化如此快速，除非你是壟斷性質的產業，否則沒人能夠花一年兩年的時間做詳細設計，然後才去實現。只有敏捷才能夠降低風險，敏捷是必須的。沒有敏捷的技術架構，就沒有敏捷的開發，就沒有敏捷的業務，就沒有敏捷的企業。

架構和敏捷真的不相容嗎？我不認為，而且我試圖證明這一點。在「微服務設計的十個步驟」方法，是以「場景」（scenario）作為驅動的，這符合敏捷以功能點或特徵驅動的作法，且場景更全面，更關心用戶的目的，尤其場景也是我的「技術建模」和「商業建模」之間的一個銜接點。

設計方法論的第三個階段是：建立自我優化的機制。比擬董事會（執行）、監事會（監察）、股東會（決議）的關係，我希望系統本身就像一個公司，也具備執行、分析、調整的循環，提供這樣的機制來持續優化自己，甚至為未來的自動化和智慧化提供可能性。所以「微服務設計的十個步驟」中的第八和第十步驟，分別對業務和維運提供執行、分析、調整的機制。

設計方法論的第四個階段是：降低難度。以「微服務設計的十個步驟」為例，我一開始只要求分解前端和後端這兩層，接下來才繼續分解前端和後端為五層，接下來才把這五層根據技術來分解，接下來才又把分解的結果根據運維來分解。這個過程大大地把難度降低了。

這篇文章介紹的是設計方法論的方法論，也就是所謂的 meta-methodology。「微服務設計的十個步驟」是實踐這個方法論的結果，而我還有另一個方法論，是用來設計商業的，也是實踐這個 meta-methodology 的結果。這兩個例子的存在，解釋了meta-methodology 的意義，它是用來設計方法論的方法論。

混合實境裝置廠商Magic Leap因為接受Google、阿里巴巴等公司投資而聲名大噪。但上周《The Information》報導第一款產品銷售遠不如預期，傳出公司陷入裁員、人事流動、研發動能遲滯等不利消息，也讓第二代新產品推出時程還得等好幾年。

Magic Leap聲稱其技術可將自然光與合成光在大腦作用下，使其產出的混合實境（Mixed Reality，MR）影像和真實完美混合令人無法分辨虛實。該公司並在去年推出售價高達2,295美元（約71,000台幣）的第一代產品Magic Leap One。

不過報導指出，Magic Leap前六個月全球銷售僅6,000台，遠不及其CEO Rony Abovitz設定第一年10萬台的預期，遑論未來幾年間數百萬台的目標。銷售不利影響所及，Magic Leap不得不啟動縮減開支計畫，包括最近幾周裁減多個部門10多名人力。此外還傳出公司財務長及資深副總裁相繼離職的消息。

不僅如此，《The Information》還指出Google執行長Sundar Pichai及高通執行董事Paul Jacobs，已在去年悄悄辭去Magic Leap的董事職，不過Pichai可能是因為職務繁忙（例如近日接手Alphabet執行長），將由Google另一名高層Jennifer Fitzpatrck接手Magic Leap董事職。Jocobs則是因為曾策動出售高通，而遭撤除董事職位。

Magic Leap計畫近日內發動新一波募資以開發其第二代產品。新產品具備5G連網功能、視野更大，且硬體更小、更輕，也有更多顏色選擇。下一代產品已在研發中，但傳聞遭遇「基礎的技術限制」，因此推出恐怕還要好幾年，近期只會有小改版的產品更新。

不過Magic Leap駁斥《The Information》報導多所錯誤，文中引述也多誤導說法。

但是VR、AR這類新奇科技熱潮退燒則是不爭的事實。Google 10月間宣佈終止銷售VR頭戴裝置Daydream軟體平台。另一方面，即使還有商用市場的潛在機會，Magic Leap這類新創公司也會面臨臉書、微軟及蘋果等大廠的競爭。蘋果雖然還沒有正式產品，但iPhone 11的U1晶片，傳聞可能會發展成空間定位及AR等應用。

全球串流音樂龍頭Spotify最近公布了旗下用戶收聽習慣的年度分析報告，揭露了最受全球用戶愛戴的前三名音樂人依序是Post Malone、Billie Eilish與Ariana Grande，而且播客（podcast）的聽眾在今年大幅成長了50%。

播客為數位聲音檔案，可供用戶下載或透過行動程式聆聽，雖然它在2004年就問世，但普及程度遠不如音樂或影片串流，原因之一可能是播客的型態類似廣播，除了內容必須獨立製作及觀眾數量較少之外，也尚未出現成功的商業模式。

然而，Spotify的統計卻發現，今年該平台的播客檔案已達到50萬個，而聽眾數量的成長則超過50%，用戶每季花在播客上的時間平均成長39%，代表人們真的喜歡播客。最受歡迎的播客節目為Spotify出版的《The Joe Budden Podcast with Rory and Mal》，這是一個由前饒手歌手Joe Budden所主持的節目，內容從音樂到運動都有。

另一方面，今年Spotify上最熱門的歌手為現年24歲的Malone，他的歌曲今年在全球被串流65億次；同樣來自於美國的Eilish則只有17歲，熱門程度也不遑多讓，有超過60億的串流次數，亦被譽為全球超級新人；因音樂劇而出道的Grande以寬闊的音域聞名，她不但位居熱門歌手排行榜的第三名，所演唱的《7 rings》也入榜今年前五大串流歌曲。

單曲串流前五名則分別是來自Camila Cabello與Shawn Mendes的《Señorita》，來自Billie Eilish的《Bad Guy》，Post Malone與Swae Lee的《Sunflower》，Grande的《7 rings》，以及Lil Nas X及Billy Ray Cyrus的《Old Town Road – Remix》。

金融時報本周報導，北京當局下令所有政府部門和政府單位，三年內要全數汰換外國電腦設備與軟體，改採中國業者產品。

這是在美、中貿易戰之下，中國因應美國提高關稅及禁止採購華為、中興5G網路設備、以及限制美國技術銷售給華為等動作的第一個明文反擊措施，一般預料HP、戴爾等美國科技業者將首當其衝。這項命令原為祕密計畫，直到上周《金融時報》取得祕密文件。該報是經由涉入相關計畫的中國資安公司，而證實這項計畫的存在。

報導指出，這份內部代號為「3-5-2」的汰換命令，預計從2020年開始三年內執行完成，預計2020年取代30%，2021年汰換50%，到2022年把最後20%全部移除，換成中國廠商如華為、聯想的PC及伺服器。

本命令預計將對HP、Dell等仰賴中國市場美國PC業者形成衝擊。報導引述中國一家證券業者資料估計，在3-5-2命令下中國將有2000到3000萬台外國品牌硬體會被換掉。

顧問公司Eurasia Group 分析師分析，3-5-2政策應該是中國《網路安全法》的一環。中國2017年通過本法的目的，原本是為了透過扶植本地科技強化中國網路基礎架構的安全和可控性，但川普政府多項打壓中國科技公司，或是點名華為、中興帶來美國國家安全威脅的措施，激化了本法案的迫切性。

但分析師也指出這項政策並不是那麼容易。首先是何為「本地產品」。自從IBM將其PC及伺服器賣給聯想後，官方單位採購聯想已是主要政策，不過聯想內部搭載的是英特爾的CPU及三星的硬碟。此外，PC作業系統不論是Windows或macOS，短時間內都不是華為鴻蒙或麒麟作業系統（Kylin OS）比得上的。

準備角逐美國2020年總統寶座的美國參議員Bernie Sanders，在上周提出了「High-Speed Internet for All」政見，承諾若他當選了，他將把寬頻服務納入公用事業，讓所有美國人都能享受負擔得起的高速網路。

根據Sanders的規畫，他打算提撥1,500億美元來協助美國各州及城市打造公有且由民主所控制的寬頻網路；要求所有的網路服務供應商提供基本的網路方案，以各個家庭負擔得起的價格為基礎，提供高品質的寬頻速度；同時也準備打破網路服務供應商及纜線（Cable）的壟斷局面，禁止服務供應商提供內容，同時取消違反競爭的併購案。

Sanders說，高速的網路服務必須被視為新的公用事業，如同電力一樣，是每個人都應享有的基本人權，不管是在家中、學校或辦公室，都不應在上網時面臨等待，或者必須處理複雜的合約與費用，大家應該直接就能上網。

根據Sanders的看法，網路一開始就是由納稅人所贊助的，不管是實驗室或是研發成果，既然使用了納稅人的錢，它就應該屬於公共利益，而不是成為Comcast、AT&T或Verizon的獲利機器。

此外，Sanders也批評這些壟斷網路、電信與Cable市場的企業，不斷遊說各級政府來維持它們的競爭力，不只未提供服務給那些負擔不起的人，也不在人煙稀少、缺乏投資報酬率的區域建置基礎設施。

但它們的獲利豐厚，例如過去兩年Verizon的獲利超過450億美元，其執行長在去年領走逾2,200萬美元的報酬，Comcast過去兩年的獲利也超過340億美元，其執行長去年的薪酬是3,500萬美元，就算是在去年裁撤2.3萬人的職缺的AT&T，其執行長去年還是領走了2,900萬美元。

總之，Sanders認為，是時候把連網的權利還給民眾了。

美國總統大選將在2020年的11月3日舉行，目前已有4位政治家宣布參選，除了現任總統川普（Donald Trump）與Sanders之外，還包括曾擔任眾議員的Joe Walsh，以及曾為麻州州長的Bill Weld。

匈牙利的競爭監管機關在上周指出，臉書（Facebook）宣稱自己的服務是免費的，誤導了該平台的使用者，因此判罰臉書12億匈牙利福林（HUF），約400萬美元，據稱這是東歐國家史上祭出的最高罰款。

根據外電報導，匈牙利當局指出，臉書在首頁及使用說明上，都說自己的服務是免費的，然而，臉書的用戶雖然沒有付錢使用該服務，臉書卻利用用戶的個人資料及使用行為來銷售目標式廣告，臉書的聲明誤導了用戶，因為使用者其實是以個資來交換服務，並非全然免費。

在臉書所公布的今年第三季財報中，該季臉書創下176.5億美元的營收，其中光是廣告就占了98.5%。

除了支付罰款之外，臉書也在匈牙利的要求下，變更其免費說法。

芬蘭手機品牌Nokia重回手機市場後，將進一步跨足智慧家庭設備，要與印度零售商及製造商Flipkart合作，推出第一款智慧電視。

Flikpart上周發出聲明指出，該公司已經取得Nokia品牌授權在印度生產智慧電視。在雙方協議下，這家印度公司將負責Nokia品牌智慧電視的生產及銷售，以及相關行銷計畫。

根據Nokia 官網，首款智慧電視將為55吋4K UHD螢幕、具備Dolby Vision影像規格，搭載Android 9.0 TV作業系統、也支援Chromecast、另外安裝了Netflix、YouTube。在硬體方面則採用四核心處理器及16GB記憶體，內建JBL音響技術及24瓦喇叭，以及Wi-Fi及藍牙5.0支援。

Nokia智慧電視定價589美元。Flikpart將利用其網路商店及實體通路，銷售到印度都會區及2、3級城市。Nokia是否會將本產品推向其他市場目前不得而知。

德國媒體Bayerischer Rundfunk上周披露，有一可能是由越南政府支撐的駭客集團OceanLotus正嘗試入侵全球的汽車產業，目的在於竊取智慧財產，包括BMW與現代汽車（Hyundai）都是受害者。

報導指出，OceanLotus先在BMW的電腦系統上安裝了Cobalt Strike滲透工具，並伺機而動。Cobalt Strike是由Raphael Mudge所開發的滲透及紅隊演練工具，一年份的個人使用授權為3,500美元，只是最近這幾年經常受到駭客的青睞。

根據Cobalt Strike官網的說明，這是個威脅模擬軟體，可針對現代化的企業執行目標式攻擊，它能夠偵測目標電腦上所使用的程式，它的攻擊封包可執行偷渡式攻擊，或是將無害檔案變成木馬，也能執行魚叉式攻擊，並支援協作能力，可載入Beacon以執行PowerShell腳本、盜錄鍵盤、拍攝螢幕畫面、下載檔案或其它惡意功能。

據稱OceanLotus是在今年3月發動攻擊，但BMW一直到上周才發現內部網路藏有Cobalt Strike。BMW表示，該公司已部署可最大化減少未經授權存取的安全架構與程序，也讓他們能夠快速從意外中恢復。一名BMW的資安人員向Bayerischer Rundfunk表示，駭客尚未進入BMW的核心系統。

現代汽車則尚未回應任何媒體的詢問。

目前資安人員已知相關攻擊行動來自於OceanLotus，只是並未有任何直接證據表明OceanLotus的行動是由越南政府主使，但過去OceanLotus的攻擊對象多為越南的異議份子或是競爭國家，且越南最大集團Vingroup才在今年建立首個汽車工廠，BMW就是其主要供應鏈之一，各種巧合都讓資安專家懷疑越南政府牽涉其中。

其實德國汽車工業協會今年夏天便曾提出警告，指出已有駭客集團鎖定德國汽車產業展開攻擊，要會員提高警覺。

W3C（World Wide Web Consortium）宣布三項WebAssembly規範已經成為網頁標準，分別是WebAssembly核心規範、網頁API以及JavaScript介面。而WebAssembly也成為了第4個允許在瀏覽器上執行的語言，其他三個語言分別是HTML、CSS和JavaScript。

W3C專案負責人Philippe Le Hégaret提到，機器學習與人工智慧應用越來越普遍，因此網頁平臺能夠支援高效能應用程式很重要，而WebAssembly利用開放網頁平臺技術，擴展了網頁應用程式的種類。

WebAssembly核心規範定義了一個低階的虛擬機器，模擬了許多微處理器的功能，透過JIT（Just-In-Time）編譯和直譯，WebAssembly引擎可用幾乎與原生平臺編譯程式碼相同的速度執行程式。而以WebAssembly格式儲存程式碼的.wasm檔案，類似Java的.class檔案，其包含了靜態資料和操作靜態資料的程式碼區塊，但與Java不同的是，WebAssembly通常是由其他程式語言，像是C/C++或Rust編譯而成。

第二個成為標準的規範是WebAssembly網頁API，這個規範定義了Promise介面，用於請求和執行.wasm檔案，W3C提到，.wasm檔案經過最佳化，可允許整個檔案擷取完成之前就開始執行，而這強化了WebAssembly應用程式回應的能力。

最後一個規範WebAssembly JavaScript介面定義了JavaScript API，讓JavaScript來呼叫並將參數傳遞給WebAssembly函式。在瀏覽器中，WebAssembly所有與主機的互動，都是透過JavaScript管理，而這代表WebAssembly受JavaScript安全模型保護。

WebAssembly是一種安全且可移植的低階程式碼格式，目的是要讓程式能高效能的執行，而且以壓縮形式表示資源，使網頁平臺能執行運算密集應用，開發人員可用WebAssembly來開發影音解碼器、密碼運算或是遊戲等，且由於WebAssenbly提供了一個獨立於平臺的運作環境，因此可以在各種電腦平臺上執行。

WebAssembly的發展工作正如火如荼的進行，除了上述W3C正式推薦WebAssembly，在瀏覽器世界達到了一個里程碑，Mozilla也為了要擴展WebAssembly的可移植性，推動了WebAssembly系統介面WASI，要讓WebAssembly的應用程式能跨出瀏覽器獨立執行，另外，Mozilla還與多家企業共組聯盟Bytecode Alliance，推動WebAssembly在瀏覽器之外的發展。

俄羅斯媒體MBX Media近日踢爆，該報記者在黑市中發現，有人在盜賣莫斯科監視器所拍下的畫面。

莫斯科可能是全歐監視器部署最普及的城市，它在全市架設了17萬台監視器，幾乎每個出入口或交叉路口都有監視器，其中大約有3,000個監視器可連結到人臉辨識系統。相關系統的存取權理應是被嚴格控管的，但MBX Media的調查卻發現，當地的許多地下論壇都有人在銷售這些監視器的存取權。

在相關的交易中，買家可以指定要觀看哪個監視器的畫面，賣家就會提供特定監視器的連結，允許買家觀看這些監視器的即時畫面，還能存取該監視器的歷史紀錄，有效期為5天；還有賣家直接銷售無限制的監視器存取權，賣家會直接提供一個監視器系統的登入憑證，但要價高達數萬盧布，約數十萬元新台幣。

此外，這些俄羅斯的地下論壇連官方的人臉辨識系統都能買到，買家只要提供欲查詢的人臉照片，賣家就會幫忙搜尋，然後提供看起來類似的照片列表與被監視器拍到的地點。

購買相關服務的主要是私家偵探與犯罪集團，可能還有一些純粹是為了滿足好奇心。

當MBX Media為此詢問莫斯科資訊部、開發該監視系統的CJSC Netris或俄羅斯內政部時，都未曾得到正面的回應。

人工智慧在各種遊戲，包括圍棋和象棋等擊敗人類，而現在臉書更應用人工智慧技術，並結合先進的搜尋技術，讓機器人掌握花火（Hanabi）這個更複雜的紙牌遊戲，程度不只更勝過去的演算法，還能夠擊敗菁英玩家。

花火是一種需要高度合作的紙牌遊戲，玩法類似團隊接龍，但玩家無法看到自己擁有的牌，只能看到其他玩家的牌組，玩家透過每回合有限的資訊，經推理、整合和發揮默契來完成遊戲，最後才能成功將不同花色的數字牌，按順序排列並成功施放出花火。

玩家必須透過交換訊息，才能了解要出牌還是棄牌，但是決定行動的線索，只能透過特定紙牌顏色和編號等，非常有限的提示進行溝通，而由於玩家都知道，花火是一款合作遊戲，因此會直接相信隊友的暗示，不會認為隊友的暗示存在欺騙或是誤導等目的。

臉書提到， 人類透過觀察行為，來解釋隊友的意圖，像是隊友可能以特定顏色卡片，來暗示玩家下一回合要使用的卡片，而這是一種演繹的能力，玩家用來理解隊友的意圖，並預測他們對線索的解釋，和回應的行為。而在真實世界中，臉書也期待人工智慧系統擁有協作能力，能夠在需要的環境進行合作。

在今年的時候，DeepMind和Google Brain的人工智慧研究人員，同時也認為花火是研究人工智慧的新領域，因為花火多人遊戲，同時結合了合作性玩法以及不完整的訊息。而臉書現在發表了最新的研究，他們開發了一種應用即時搜尋方法的人工智慧機器人，這種搜尋方法結合預運算的策略，可以對遊戲過程中遇到的各種情況進行微調，顯著改善包括增強學習等，任何遊玩花火的演算法。

這項研究主要貢獻是在不完整訊息的情況下，使用搜尋方法。臉書提到，過去搜尋方法只能用在如象棋和圍棋等，這類公開完整資訊的遊戲，而由於花火遊戲進行時，每個玩家只能看到部分而非全部紙牌，任意階段的遊戲都只有非完整的資訊，機器人在做出決定之前，需要考量多種不同的可能，而這種情況讓搜尋變得困難，通常也需要花費更多的運算資源。

臉書提到，儘管不少多重代理的人工智慧研究，都專注在零和競爭上，但是透過有限溝通進行有效率協調的人工智慧技術，在現實世界的潛在用途更大，像是在只有部分可觀察的環境交通導航，需要駕駛員需要傳達自己的意圖以及解釋他人意圖，而在工作環境中，人工智慧系統需要能夠解釋人類所提供的非語言線索。

當人工智慧可以理解這些意圖，就能以更高的效率進行合作，臉書認為，他們在花火遊戲中的研究，能夠推進現實世界中合作式人工智慧代理的發展。

微軟公告.NET Core 2.2將在2019年12月23日停止支援，並且建議開發者應該立即計畫升級到長期支援版本.NET Core 3.1。

微軟解釋，.NET Core 2.2是2018年12月4日釋出的非長期支援版本，而這個當前（Current）版本只支援到下一個版本釋出後的三個月，而.NET Core 2.2的下一個版本.NET Core 3.0，在2019年9月23日釋出，因此三個月後的時間為2019年12月23日，在之後微軟將不為.NET Core 2.2提供任何容器映像檔的更新套件。

建議.NET Core 2.2升級的下一個版本為.NET Core 3.1，微軟提到，.NET Core 3.1為長期支援版本，開發者可以直覺地進行升級。.NET Core現在有兩種版本，其一為長期支援版本，適合用在不常更新的應用程式，而當前版本則會因應使用者的回饋，不斷加入新功能，適合正在開發中的應用程式，能讓開發者使用到最新的功能。

近日在網路論壇Hacker News幾篇反制Google的文章都上了熱門排行榜，這波討論潮是從幾天前，一篇2018年的舊網路文章⟪Google AMP Can Go To Hell⟫開始，引起了一連串網友對於Google以及AMP（Accelerated Mobile Pages）技術的爭論，接下來的⟪How to fight back against Google AMP as a web user and a web developer⟫文章更吸引許多人參與討論，其中提到拒用Chrome瀏覽器，也在後來讓⟪No To Chrome⟫網站上了論壇熱門排行。

⟪Google AMP Can Go To Hell⟫文章提到，雖然AMP現在是開源專案，但專案成員90%都是Google的員工，AMP正把所有網站都變成Google的樣子，雖然這篇是2018年的舊文章，但是在網路論壇Hacker News仍然激起了熱烈討論，不少人質疑AMP加速網頁的方法，只是給Google更多不合理以及不需要的控制權，標準AMP仍然包含特定平臺的元件，但有也人提到AMP帶來的好處是，除了可以保有真正網域名稱，還能加速網頁，甚至連低階的Android手機也能夠快速瀏覽網頁。

而在第一篇出現之後，接著教網頁使用者與開發者反制AMP的教戰守則⟪How to fight back against Google AMP as a web user and a web developer⟫一文也上了Hacker News熱門排行，文中提到，反制的手段除了不用Google搜尋以及Chrome瀏覽器之外，也呼籲開發者不要在網站上使用AMP。

作者Marko Saric提到，許多網站會使用AMP技術是因為網站載入緩慢，造成網站緩慢的真正原因，是因為存在許多不必要的第三方元素，開發者用Google提供的網站速度分析，也會發現拖慢網頁速度的元兇是分析和廣告服務，而這也是啟用增強追蹤防護或是安裝廣告攔截工具之後的Firefox，可以讓網頁載入速度大幅提高的原因。

作者列出可讓網站不使用AMP也能比使用AMP的網頁，載入速度還要快的作法，除了限制不必要的元素、第三方連線與腳本之外，還可以使用惰性載入（Lazy Load）技術載入圖像和影片。

Hacker News這篇文章引來更多網友的回應，有網友提到，AMP可以讓網頁加速的原因，除了使用Google的CDN之外，還因為AMP限制了可以在網頁上執行的動作，所有允許的動作都被打包在AMP的元件中，而這些元件都由Google控制。

另外，也有人抨擊AMP把讀者變成商品，許多媒體網站只顯示圖片以及文字，根本沒有理由在網站加入一堆JavaScript程式碼，目的只是因為要賺取廣告費，而AMP原生支援約200個廣告網路，網站可以在AMP網頁上簡單地抽換這些廣告網路，賺取廣告費用。

而支持AMP的網友則認為，AMP強迫網站使用iframe JavaScript沙盒安全模式，可提升網站安全性，而且AMP無論是以何種技術達成的，但就以使用者的角度來看，確實提升了網頁的載入速度，真正改善使用者體驗。

美國知名資料中心供應商CyrusOne上周四（12/5）對外證實，該公司位於紐約的資料中心遭到勒索軟體攻擊，波及了6家客戶。

CyrusOne為全美最大的資料中心供應商之一，在12個區域建置了45個資料中心，其中有10個區域位於美國，現階段擁有上千家客戶，包含Fortune 1000中的200家。CyrusOne為那斯達克的上市公司，也許是受到攻擊的規模並不大，這幾天的股價並沒有明顯的波動。

CyrusOne表示，受到影響的是位於紐約資料中心的管理服務（managed service），波及了6家客戶，因為勒索軟體加密了特定裝置，至於該公司的資料中心託管服務，包括IX及IP Network服務都未受害。

在發現該意外之後，CyrusOne馬上啟動其回應與連續性協議以判斷發生了什麼事，同時回復系統並通知適當的執法機構，目前正在進行調查，並協同第三方專家以解決問題。

還在調查中的CyrusOne並未公布細節，但率先報導的ZDNet則說CyrusOne所感染的是Sodinokibi。

資安業者Cybereason把Sodinokibi稱為勒索軟體界的「王儲」（Crown Prince），研究人員認為它與GandCrab是由同一群作者開發，GandCrab曾是全球感染力最強的勒索軟體，在高峰時期擁有40%的占有率，並在大賺20億美元之後宣布收山，Cybereason推測Sodinokibi有成為第二個GandCrab的實力。

Sodinokibi初期鎖定亞洲市場，隨後開始擴散至歐美，雖然是今年4月才被發現，但ID Ransomware今年第三季的數據顯示，Sodinokibi已躋身全球第五大勒索軟體，市占率為4.5%。牙醫診所備份公司Digital Dental Record在今年8月所感染的勒索軟體也是Sodinokibi。

微軟Wunderlist去年起傳聞要關閉，微軟周一終於宣佈計畫在2020年5月6日關閉這個受歡迎的待辦事項app，並鼓勵大家轉到To Do。

微軟於2015年買下德國新創公司6Wunderkinder及其開發的Wunderlist，不過卻因架構問題轉到Azure較複雜，因而決定另起爐灶，2017年推出全新的To-Do取而代之，也表明Wunderlist總有一天會退役。

雖然微軟現在才確認Wunderlist要到明年5月關閉，但在此之前，微軟就已經不再為Wunderlist釋出新功能和大改版。微軟表示，這也讓app更難以維護，也無法保證Wunderlist可以持續運作順暢。透過關閉Wunderlist他們才可以專心致力於開發更整合及安全的工作排程app。微軟相信推出2年的To Do會是Wunderlist最好的替代品，因此他們認為現在是時候邁入下一階段。

今天開始，微軟已不再接受用戶註冊加入Wunderlist。而現在到明年5月之前，Wunderlist都還可以用，微軟呼籲用戶儘快取回資料，也提供匯出工具讓用戶將待辦清單、檔案、記事、留言等等以.zip輸出，或是匯入到To Do。5月6日後，用戶就不能再以Wunderlist同步資料，但是仍然會開放一段時間讓用戶將資料匯入到To Do。

為了鼓勵Wunderlist用戶留下來，9月間微軟才對To Do 發佈一版更新，強化用戶在Windows、macOS、Android、iOS與網頁版上跨平台同步待辦事項，也更整合Microsoft 365，可檢視來自Outlook、Hotmail或Live的重要郵件，此外也整合了Microsoft Planner的Assigned to Me清單以及英文版Cortana AI語音助理。

微軟前後收購過好幾個受歡迎的應用程式如郵件app Accompli、行事曆app Sunrise等，也都在擷取其精華後融入自己的行動版Outlook將之關閉。

Wuderlist原始創辦人Christian Reber曾在9月表達，想跟微軟買回這款app技術的意願。顯然他最後未能如願。Reber現在和過去的戰友另外成立一間名為Pitch的公司，旨在開發雲端簡報軟體app挑戰微軟PowerPoint。

美國公共政策研究中心──布魯金斯研究院（Brookings Institution）在本周發表一研究報告，呼籲美國政府應該要將帶動美國經濟的科技創新擴散到全美，以讓各地能夠均衡發展。目前的調查顯示，從2005年到2017年間，美國在創新領域上的成長，有超過90%集中在5個城市，包括波士頓、舊金山、聖荷西、西雅圖與聖地牙哥。

研究人員指出，美國經濟的未來在於高科技創新領域，但各區域在該領域的發展卻極不平均，加深了區域之間的鴻溝。

由13個產業組成的創新領域在這十多年來的成長，都集中在上述5個大都會地區，這5個城市在這期間所占據的全美創新就業比例從17.6%成長到22.8%，而美國其它的343個都會地區在相關比例上皆呈下滑，這代表有1/3的創新工作集中在16個郡，或是有一半的創新工作集中在41個郡。

這種失衡的狀態將會造成嚴重的後果，包括在這些明星城市中所出現的房價飆升與交通擁塞，且受過大學教育的人才也都會聚集在明星城市，讓其它都會區的人才相對缺乏，而產生殘酷的社會影響，有許多美國人住在遠離這些明星城市的地方，他們同樣也遠離了這些城市所帶來的機會，削弱了經濟包容並衍生出社會正義問題。

該報告建議美國政府應該建立8到10個創新成長中心，來應對此一區域性差異的問題，包括大力支持非既有科技中心的創新投資，在持續10年的時間內，每年在每個都會區投入7億美元的研發經費，並制定各種獎勵政策，同時建立公平且嚴格的篩選程序。

研究人員已發掘了35個有潛力成為美國新一代創新中心的都會區，這35個城市分散在美國19州，且多半遠離既有的明星城市，可促進區域發展均衡。

儘管促進區域公平的努力大多都得以效率為代價，但該報告認為，消弭失衡所形成的負面影響，再加上推動新創新中心的效益，都會讓美國在整體福利與全球競爭力上受益。

Google要讓Pixel手機用戶獲得VIP的服務。除了定期的安全更新外，周一Google再宣佈要定期針對Pixel手機發佈功能更新，包括背景模糊、Duo自動對準及過濾語音自動電話，有些舊Pixel手機也享用得到。

Google從本月開始啟動功能定期更新。第一次更新提供三大功能，其中二項僅限最新的Pixel 4。第一項是來電過濾（Call Screen），可自動過濾不知名人士的來電。若判斷為自動語音來電時，甚至在手機鈴聲響起前將之掛斷，以免這類電話打擾用戶。如果判斷不是自動語音電話，這項功能會讓鈴聲持續久一點，並留下來電方等相關資訊。來電過濾是在手機上運作，並不牽涉Wi-Fi或資料，有助於加快過濾速度及確保資料隱私。

其次是視訊電話app Duo的功能強化。首先，它的自動對準功能配合Pixel 4的廣角鏡頭，可確保用戶臉部維持在畫面正中央，即使用戶通話時走動也不會跑出螢幕畫面。若通話過程中有第二個人加入，Pixel 4相機會自動對準，讓兩個人都保持在畫面中。此外，因應網路頻寬造成通話聲音斷斷續續，Pixel 4背後的人工智慧模型可預測接下來可能的聲音，藉此維持對話的順暢。另外，Pixel 4的「平滑顯示」1秒更新影格高達90次，消除影像播放不連貫的問題。

第三項功能──Google Photos的「人像模糊化」（Portrait Blur）──則是所有Pixel手機用戶都可受惠。「人像模糊化」原本只能在拍攝時設定背景模糊化，新功能則可用於已拍攝好的相片，到Google Photos下找出相片設定，即可以這項功能將相片背景調成想要的效果。此外，所有Pixel手機都將獲得新版記憶體管理功能，可主動壓縮快取應用程式，方便手機同時執行多個app，像是遊戲和影片串流。

最後，除了第一代Pixel外，Pixel 2以上版本都會在本次更新中獲得不同程度的新功能，包括錄影（recorder）app、Pixel 3/3a有即時影片字幕、減少手機使用時間過長的數位福祉（digital wellbeing），也加入暫停某些app的專心模式（Focus Mode）、自動排程及稍事休息功能。Pixel 2/2XL現在也支援翻面禁止打擾（Flip to Shhh）」。Pixel 4的Google Maps將結合機上運算（on-device computing）使資訊更加精準，另外，英、加、愛爾蘭、澳洲、新加坡等地的Pixel 4，也將獲得新版英文Google Assistant。

Google從本月開始啟動功能更新，並在未來幾周部署到用戶手上的Pixel手機。等不及的用戶可以先升級到最新版Android 10，就可以到Play Store直接像下載app一般來下載新功能。

在正式釋出Windows 10 1909更新一個月後，微軟本周宣佈將啟動自動升級，強制1809版家用及專業版用戶升級，因為微軟半年後就不支援這些版本了。

11月初釋出1909更新時，Windows 10用戶可以在Windows Update選擇「檢查更新」來手動下載。不過上周微軟針對Windows 10 1809版家用（Home）及專業（Pro）版，啟動自動更新機制。微軟表示，這是為了確保裝置安全及app運作順暢，以便在支援服務終止前幾個月，開始支援版本的更新。

根據微軟的支援生命周期表，1809版家用、專業、及教育Pro Education、工作站（Pro for Workstations）版本的支援，明年5月12日就會終止。而教育（Education）及企業版的技術支援則多一年到2021年的5月11日。如果你的電腦跑的是1803版，微軟應該在11月中已經強制你升級了。

和過去幾版更新不同，1909可以說是小幅更新，主要是效能、穩定性與企業功能上的改善。它和Windows 10 1903有共同的作業系統核心和系統檔案，且透過每月更新，1903版電腦已經下載了1909版功能，這些電腦只要重新開機一次即可完成升級。

Windows 10 1903不論是家用、企業、教育或專業版用戶，都會在2020年12月8日技術支援到期。