繼美國海軍基於國安考量禁止中國的抖音TikTok後，紐約時報周一報導，一款風行中東及美國的視訊軟體ToTok，也被指稱其實是一款阿拉伯聯合大公國（簡稱阿聯，UAE）監視人民的間諜工具。

ToTok是一款阿聯出品的視訊軟體，因其具有美顏效果，特別在WhatsApp被禁止的國家相當受到歡迎。目前全球共有阿聯、伊朗、敍利亞、北韓、中國及古巴禁用WhatsApp。但在App Store及Google Play Store上架後，其下載次數高達數百萬，用戶雖以阿聯為主，也遍及中東、歐洲、亞洲、非洲及北美等地。

不過紐約時報引述取得機密軍情的美國官員說法，以及該報的調查指出，這款app其實是阿聯政府監控用戶對話、移動位置、人際網絡、以及取得用戶影像、聲音及行程的間諜工具。

紐約時報請來獨立安全專家Patrick Wardle對ToTok分析。調查顯示，ToTok似乎是拷貝中國的美顏視訊軟體Yeecall app，再依當地用戶習慣修改而成。它表面上和所有通訊app沒兩樣，但是一旦安裝後，它會在用戶每次開啟app時蒐集新聯絡人，佯稱要將用戶與之建立聯結。此外，它也會存取手機相機、麥克風、行事曆、聯絡人等app，並以提供精確氣象為由追蹤用戶位置。

雖然ToTok號稱「快速且安全」，但其實並不像WhasApp、Skype或Signal等app提供加密。反而它還會以一行藏在字裏行間的隱私政策說明，這款app會將用戶個資分享給同事業群公司。

Wardle指出，利用這款app，有心人士就能輕鬆蒐集到一切情資，根本不需花幾百萬美元請駭客駭入用戶手機。

過去波斯灣沿岸的國家包括沙烏地阿拉伯、阿聯及卡達等，都是找民間業者駭入政敵、異議人士或自己的人民，例如阿聯政府曾經請以色列業者NSO Group駭入人權倡議人士的iPhone。但美國政府相信，ToTok事件顯示，阿聯政府可能決定成立一家可直接控制的駭客公司。

美國情報調查顯示，ToTok背後的公司Breej Holding和名為DarkMatter的公司有密切關係。DarkMatter是一家蒐集網路情報及駭客服務業者，其成員包含阿聯情報機關、該國國安局僱員、前以色列軍情探員等。美國聯邦調查局（FBI）正在調查這家公司是否涉及網路犯罪事件。他們也發現DarkMatter和一家資料分析業者Pax AI可能有關聯。此外，Pax AI位於阿布達比的總部和阿聯訊息情報署位於同一棟大樓，巧合的是DarkMatter也是設在這棟大樓內，不久前才搬走。

阿聯政府及美國中情局皆拒絕評論。

蘋果和Google也相繼在上周將ToTok從各自軟體市集移除。ToTok周一透過官網表示基於技術問題，目前無法從兩大平台下載，僅能從官網下載該app。

思杰系統（Citrix Systems）在上周修補了編號為CVE-2019-19781的安全漏洞，該漏洞藏匿在Citrix應用程式交付控制器（Application Delivery Controller，ADC）與Citrix Gateway上，成功的開採將允許駭客自遠端執行任意程式，可能波及來自全球158個國家採用相關技術的逾8萬家企業。

Citrix ADE為一應用程式交付與負載平衡解決方案，Citrix Gateway則是一個自遠端存取混合雲端與SaaS服務的解決方案，都是思杰旗下的知名產品。

此一漏洞是由企業漏洞安全解決方案供應商Positive Technologies所發現，指出倘若該漏洞被開採，駭客就能自網路上直接存取相關企業的內部網路，且此一攻擊完全不需要存取任何的帳號，允許任何外部人員發動攻擊，駭客不只可存取企業已發表的應用，還能攻擊企業內部網路的其它資源。

Positive Technologies評估全球至少有8萬家企業採用含有漏洞的產品，前五大市場包括美國、英國、德國、荷蘭與澳洲。儘管Citrix並未公布該漏洞的嚴重等級，但Positive Technologies認為CVE-2019-19781屬於最高風險的安全漏洞，因為它波及了所有支援平台上的所有版本。

思杰除了督促用戶儘速修補之外，也提供了緩解措施，讓無法立即修補的用戶可暫時因應。

電子地圖業者Here Technologies宣佈，日本大廠NTT及三菱（Mitsubishi）將聯合取得該公司30%的股權，可望用於三菱汽車並擴大Here在亞太區的業務。

NTT、三菱經由收購新股及現有股東的持股取得股權。兩家日本大廠透過雙方於荷蘭新成立的合資公司Coco Tech控股參與Here的經營。這項交易預定2020年上半完成。

雖然各方沒有公佈交易金額，但英國金融時報報導在10億美元。

Here前身是Nokia的電子地圖與地理服務部門，也是Google Maps崛起前最好的電子地圖。2015年Nokia將這個部門賣給了奧迪（Audi）、BMW及Mercedes-Benz母公司戴姆勒（Daimler）三大汽車大廠，並改名為Here。之後Here還曾獲得騰訊、地圖業者四維圖新（NavInfo）、及德國大廠Bosch、輪胎及汽車零件大廠Continental AG入股。

三家車廠對Here的持股比例仍將維持在54%的水準。除了三家車廠，Here的直接和間接股東還包括Intel Capital、Pioneer等9家公司。

目前Here除了圖資外，還提供開發環境、地圖製作、視覺工具，以及適地性服務，其產品除了車廠，還為物流車隊、保險業者所用。它在全球56國有據點，員工數超過9,000人。

除了用於發展自駕車及車輛導航服務以外，NTT及三菱將援引Here的圖資解決都市雍塞、供應鏈低效率及永續資源使用等問題。Here 表示，NTT及三菱的投入，有助於Here在亞太地區的擴張。

根據BleepingComputer的報導，FBI最近私下警告各大企業要小心LockerGoga與MegaCortex勒索軟體，並提供相關資訊及準則供企業參考。

被FBI點名的LockerGoga與MegaCortex都是針對大型企業發動攻擊的勒索軟體，當中的LockerGoga早就惡名昭彰，它在今年3月侵襲了挪威的鋁業與再生能源技術公司Norsk Hydro，讓該公司在全球40個國家的2.2萬台電腦都無法運作，釀成超過4千萬美元的損失。

至於MegaCortex不但會加密系統上的檔案，甚至能夠變更Windows系統的登入密碼。MegaCortex作者還威脅，若企業拒絕支付贖金，他將公布所取得的企業資料。

不管是LockerGoga或MegaCortex都會先利用攻擊程式或網釣手法取得登入憑證，再伺機於企業網路中植入勒索軟體。

FBI在警告信中表示，LockerGoga今年1月起已陸續鎖定美國、英國、法國、挪威與荷蘭的大型企業，而5月現身的MegaCortex已展示其入侵指標（IOCs）與C&C架構，同樣鎖定大型企業。

對這兩個可能造成重大危害的勒索軟體，FBI建議企業一定要定期備份資料，且存有離線備份；採用最新版的軟體與作業系統；啟用雙因素身分認證；監控所有遠端登入活動；稽核新帳號；確實掃描傳輸埠；禁用含有眾多漏洞的SMBv1；監控Active Directory 與管理群組的變更；使用最新版的PowerShell；以及啟用PowerShell紀錄並監控所有不尋常的命令等。

美國國家標準暨技術研究院（NIST）研究了近兩百種的臉部辨識演算法，發現亞裔和非裔美國人臉孔，在一對一配對偽陽性誤判率比高加索人高出10到100倍，而在一對多配對上，非裔美國女性錯誤率則明顯較高。NIST提到，一對多配對的使用案例，偽陽性誤判通常會把錯誤的人擺進需要審查的名單中，可能造成錯誤的指控，因此開發人員和系統使用者應該了解這些系統的限制。

NIST進行臉部辨識供應商測試，由業界和學界開發者提交的臉部辨識演算法，判斷這些演算法在執行不同任務的能力。NIST研究了99位開發人員所提交的189種演算法，並研究這些演算法在一對一配對和一對多配對的表現。一對一配對通常用於智慧型手機解鎖或是護照查驗，以一張照片配對同一人的另一張照片，而一對多配對，則是以一張照片在資料庫中尋找同一人的其他照片，通常用於搜尋特定人選的使用案例。

演算法的誤判有兩種狀況假陽性與假陰性，可能將兩個不同的人辨識為同一個人，或是無法正確將同一個人的兩張照片辨識為同一人。NIST研究團隊總共使用了來自849萬人的1,827萬張照片，這些照片來自美國國務院、國土安全部和聯邦調查局的資料庫，沒有使用社交媒體等網際網路資源或是影像監控的圖像。由於這些資料庫除了照片之外，還有年齡、性別、種族和出生國家的元資料資訊，因此可以精確地知道各種屬性所造成的差異。

研究發現，在一對一配對中，亞裔和非裔美國人臉部的偽陽性誤判率，依不同演算法高於高加索人10到100倍，這可能會增加臉部辨識系統的安全性問題，因為系統可能允許非本人存取系統。特別是美國開發的演算法，對亞洲人、非裔美國人和包括美洲印第安人、阿拉斯加印第安人和太平洋島民等原住民，一對一配對偽陽性誤判率特別高，其中最高的是美洲印第安人。

但是亞洲國家所開發的部分演算法，亞洲人和高加索人在一對一配對上，辨識錯誤率沒有很大的差異，儘管NIST在整個研究並沒有仔細探討誤判發生的原因，但是以部分亞洲演算法的案例推斷，演算法效能與訓練資料有很大的關聯，多樣化的訓練資料可能可以產生更公平的結果。

而在一對多配對上，非裔美國女性的偽陽性誤判率明顯較高，研究人員提到，偽陽性對一對多配對使用案例的影響特別重要，因為可能牽涉錯誤的指控。不過，也不是所有演算法都在一對多配對上對種族有高誤判率，在這次研究中調查的演算法中，公平性評價最高的那一項演算法，精確度也最高。

臉部辨識被大量的用在執法和邊境控管等應用中，雖然過去一些研究早就提出商業系統使用的演算法存在種族和性別偏見，但是NIST這個研究是目前最全面的評估，且印證了早前一些研究的結果。雖然NIST敦促開發者應該進行更多研究，以解決演算法的偏見，但這項研究結果也顯示，人們應該對這些臉部辨識系統的可信度有所保留，並質疑在部分用途的合理性。

CNBC與The Hill於本周揭露，美國總統候選人Mike Bloomberg已在今年初建立了一家專門執行選舉行銷活動的科技公司Hawkfish，為2020年美國總統候選人成立私人公司來協助選情活動的首例。

Bloomberg陣營發言人Julie Wood向這兩家媒體證實，Hawkfish是一專為選舉活動所創立的數位代理商及技術服務供應商，目前主要提供數位廣告服務，包括內容的建立，以及廣告的置放與分析，未來Hawkfish也可望替Bloomberg所屬的民主黨服務。

Bloomberg曾連續擔任三屆的紐約市市長，一直到今年11月才宣布要爭取民主黨總統候選人的提名。此外，他的資產高達580億美元，在全球富豪排行榜上名列第14，在美國排名第9。

討厭川普（Donald Trump）的Bloomberg迄今已花費超過1億美元來執行反對川普的廣告活動，而對於自己的競選活動，也已經支出超過1,300萬美元的廣告費用。

CNBC引用專家的看法指出，Bloomberg此一行徑並未違反美國聯邦選舉委員會（Federal Election Commission）的規定。

萬事達卡（Mastercard）本周宣布將買下資安新創RiskRecon，RiskRecon主要利用人工智慧與資料分析技術來保護企業網路系統與架構，可望強化萬事達卡既有的安全策略與技術。

2015年創立的RiskRecon主要替企業或企業的合作夥伴提供安全評估，服務的對象涵蓋金融、保險、健康照護、能源及保險等領域，根據RiskRecon的說法，企業不僅必須維護自身的安全，也應注重第三方合作夥伴的安全，不要讓委外助長資安風險。

萬事達卡表示，在快速創新的數位世界，網路犯罪已對企業造成威脅，大規模的資料外洩與勒索軟體攻擊每年都陷數十億筆資料於安全風險中，同時損及消費者的信任。RiskRecon的技術可用來掃描與評估企業內部的架構，並管理網路風險，保障企業的智慧財產、消費者及付款資料。

萬事達卡網路暨情報總裁Ajay Bhalla指出，RiskRecon將加速建立可協助金融組織、零售業及政府保障它們數位資產的網路解決方案，強化該公司既有的安全政策與技術。

未來RiskRecon除了協助改善萬事達卡的解決方案之外，也會繼續提供其它產業的網路安全解決方案。

雙方預計於明年第一季完成交易，但並未公布交易金額。

聖誕節即將到來，Google如同往年，今年也提供了一些有趣的小應用與遊戲，除了可以用聖誕老人追蹤器追蹤聖誕老人行蹤之外，Google還發布了小遊戲與增強實境應用，也做了一個有聲故事書⟪海中的奧利⟫（Ollie Under the Sea），讓小朋友當作睡前故事。

在太平洋時間12月24日凌晨2點，臺灣時間12月24日下午6點，使用者可以打開聖誕老人追蹤器，開始追蹤聖誕老人的行蹤，第一站從俄羅斯出發，並沿途停靠400多站。聖誕老人追蹤器的即時地圖不只會顯示聖誕老人的位置，也會顯示全世界在地嚮導所上傳的季節性照片。用戶可以在聖誕老人追蹤器上看到聖誕老人距離城鎮的距離，以及抵達所需要的時間。

另外，用戶也可以在手機的Google搜尋頁面，搜尋「聖誕老人 搜尋」（Santa Search），點擊第一個搜尋結果Google聖誕老人追蹤器下方的透過3D模式檢視按鍵，便能以增強實境的方式，讓有著奇特形狀鬍子的聖誕老人，出現在家中客廳或是庭院等各處。

11/22~12/20精選AR‧VR新聞

 擴增實境    ARCore  

Google更新ARCore，結合運動深度演算法讓AR物體能更逼真呈現

Google近日替自家AR體驗開發平臺ARCore新增了一個Depth API功能，可以允許開發者使用Google自有的運動影像深度演算法，搭配一臺RGB相機，來建立一個視覺深度地圖，用以提高沉浸式的互動體驗。其中一項應用就是虛擬物件的遮蔽功能，可用來強化其與真實世界的互動關係，例如將一隻虛擬小貓放在沙發上，只要開啟遮蔽功能，手機畫面就會看到小貓身體局部被沙發給遮蓋住，不像以往和真實世界的場景重疊，看起來，就像真實存在的物體那樣。

主要是通過拍攝多張不同角度的照片，並在移動手機時對於這些照片進行比較，藉此計算出畫面上所有真實物件在場景中的相對距離，比如距離手機越近的區域就標示為紅色，越遠區域則顯示藍色，從而建立完整的深度地圖。Google表示，一開始會先在Scene Viewer提供這項功能，未來亦可用它來開發互動式AR遊戲。美國室內設計網站Houzz已使用Depth API來建立更逼真的虛擬展示間。早前，Google還介紹一項環境HDR功能，則是可將真實世界的光影效果帶進AR物體和場景。

擴增實境    網路銀行  

靠AR眼鏡就能完成轉帳！華南銀行展示金融AR應用新雛型

不只製造業，國內金融業也開始試用AR技術來提高用戶體驗，例如，華南銀行最近展示了一項未來網銀的概念設計，透過擴增實境（AR）眼鏡來呈現網銀App的介面，讓民眾能透過手部與頭部的協作，來查詢帳戶餘額或進行轉帳作業。甚至該公司委外設計了一款AR眼鏡，重新將網銀App的直式UI介面重新設計成橫式，讓用戶能透過眼鏡看見放大投影成60～80吋的介面；而其搭配的飛時測距（Time of Flight, ToF）3D感測技術，則是能讓用戶直接用手在空間中操作，「因為ToF會透過紅外線感測手部動作，根據紅外線回應的時間差，來計算手在空間中的位置。」華南銀行資深專員表示，透過AR眼鏡與ToF技術，能提供3D的使用者體驗。

高通   XR平臺  

AR眼鏡也將能支援5G連網，高通首款XR延展實境平臺Snapdragon XR2亮相

高通近日除了推出新款5G SoC晶片，還發布了第一款整合5G與AI技術的XR延展實境平臺Snapdragon XR2 5G platform，讓廠商更容易用它來設計結合5G的AR、VR或MR眼鏡。相較先前Snapdragon 835，新款Snapdragon XR2平臺提升多達2倍效能，4倍影音頻寬，以及6倍影像解析度，能以每秒60幀觀看立體8K影片，並借助高通5G技術，來提供更流暢XR使用體驗。Snapdragon XR2本身內建7個攝影機，同時可用於高精度物體跟蹤與手勢識別，還能透過AI技術來降低裝置功耗，並優化性能，另外也提供了語音UI與加入周遭環境感知能力，除了讓使用者可以透過語音指令來操作XR裝置之外，裝置本身也能夠同時監測並分辨真實場景需要留意的干擾音源，來提醒用戶注意，如小孩哭聲或門鈴聲等。目前已有多家業者採用，如Spatial、Niantic等。

混合實境   醫療教學  

國防醫學院啟用全臺首間MR解剖教室，可提供上千種3D人體構造加強學習

臺灣醫院除了已在醫療手術結合MR技術，近來也有醫學院結合MR輔助教學。國防醫學院近日正式啟用首間MR解剖學教室，讓師生只要戴上頭戴式裝置，就可在現有環境中，觀察擬真、細緻的人體組織構造。這套MR系統搭配了HTC頭戴式裝置Vive Pro與3D Organon解剖教學軟體，內建超過5,500種的人體結構器官、500多組生理動畫、120多套真實解剖圖，來協助學生理解各種人體組織結構的空間概念。像是可以在VR虛擬環境中觀察靜態人體模型，並藉由互動拆解，來更進一步加深對人體各器官組織細節的認識。目前配置大約40套頭戴式裝置，除了課堂上的使用，這套系統也提供VR模擬考題，讓學生在課前課後，都能在這上面使用虛擬手術檯與虛擬大體，來加強解剖知識。下一步更計畫利用它錄製各種VR解剖學課程，增加教學多元性。

臉書   AR廣告  

臉書全面開放AR廣告刊登服務，讓品牌商和創作者能透過Spark AR建立互動式AR廣告

臉書去年開始測試的AR廣告刊登服務，如今終於全面開放給所有品牌商及創作者來使用，讓他們可以透過臉書Spark AR平臺建立互動式AR廣告，來行銷和推廣自家品牌或產品。Spark AR是臉書推出的AR特效開發平臺，雖然早在2018年就已開放在臉書及Instagram上使用，但截至目前，只有少數特定品牌能夠在其廣告中使用該技術。隨著臉書AR廣告服務的全面開放，現在任一品牌商已可通過Facebook的Spark AR引擎製作屬於自己品牌的AR特效，並將該AR效果納入其廣告中，再通過臉書平臺的廣告定位系統來推播給目標用戶。但未包含Instagram。

聯想   AR眼鏡  

聯想展示專為PC用戶設計的AR眼鏡新概念，可將桌上螢幕延伸成虛擬多螢幕

聯想近日展示了專為PC用戶設計的一款全新AR眼鏡概念，讓用戶可以使用它來和PC或筆電同步作業，來執行工作上的各種應用、社交或互動遊戲等。聯想表示，穿戴者可在眼鏡內模擬將單一PC螢幕延伸成虛擬多螢幕，來進行各種畫面操作，而且除了攜帶容易之外，也可以加強用戶隱私。雖然，聯想並未透露該眼鏡的完整規格，但從官方釋出的影片來看，這副AR眼鏡內建了3顆攝影鏡頭，且需要與筆電相連，現場使用的筆電採用的處理器，則是第9代Intel Core i7和搭配GeForce GTX顯卡。

VR    牧場  

提高牛乳品質有新招，俄羅斯大型牧場試用VR來改善乳牛情緒提升乳量

有別以往多以播放音樂、身體按摩，來穩定牛隻情緒，以生產品質更好的牛乳，在俄羅斯有家大型牧場，最近開始試用沉浸式VR技術，來幫助紓緩乳牛的緊張情緒，他們將重新改良的VR頭戴裝置，裝在每頭乳牛的頭部位置，並依據乳牛視力對於光影顏色感知程度，來模擬建立出一個夏季田園的虛擬環境，用以測試其對於乳牛情緒的影響，結果發現，觀看這些VR畫面，有助於降低牛隻的焦慮感，進而提升乳量。未來更將擴大實驗規模。責任編輯／余至浩

攝影／洪政偉　圖片來源／華南銀行、Google、高通、臉書、聯想、莫斯科地區農業和食品部

 更多AR‧VR動態 

1.Adobe買下臉書Oculus的繪畫與雕塑應用Medium

2.Sony新VR專利文件曝光，將替自家VR裝置加入視訊會議功能

3.Magic Leap替自家新款AR眼鏡釋出企業版軟體開發套件

4.PwC預測看好VR/AR產業發展，2030年將替全球經濟成長挹注1.5兆英磅

資料來源：iThome整理，2019年12月

儲存廠商Pure Storage近日在臺揭露2020年儲存6大趨勢預測。這項預測是由該公司全球技術長辦公室針對年度發表的儲存市場最新預測。

首先，在儲存採購上，許多企業將走向以儲存即服務為主的雲端儲存訂閱模式，例如按用量計價，來逐步取代過去購買實體儲存設備的方式，透過更加彈性化、完全API驅動管理資料的儲存方式，來因應未來企業混合雲、多雲架構發展需求，

其次，從儲存應用類型來看，以往長期歸檔儲存使用的物件儲存（Object Storage），也將重新得到重用，特別是應用在雲端儲存系統上，成為新的主要資料儲存方法，透過分散式的物件儲存，可以支援大規模平行的資料存取，用來提供比以往需要龐大數據處理的儲存服務之用，如密集型交易處理等，又以亞馬遜AWS S3雲端儲存服務為代表，另外，也有越來越多企業儲存應用或服務，也採用它來搭建自己的混合雲儲存共享池，如Splunk App等，來降低儲存成本，同時提升處理效能。

現代化分析技術的發展腳步加快，則是第3個儲存趨勢。隨著配備更強大CPU硬體、雲端儲存和價格更低的快閃記憶體的出現，也將加速分析平臺的發展，不論商用或開源串流分析平臺，如Spark Streaming、Splunk DSP等，都將在2020年有顯著成長，將取代傳統批次分析平臺，如Batch等。另外，在分析工具的採用方面，因應未來更大量的資料分析的需求，以無狀態伺服器，搭配容器技術，以及高效能雲端物件儲存S3組成的資料分析架構，也將成為新主流。

再者，新興QLC快閃記憶體儲存技術，也將在2020年開始走進企業SSD儲存應用市場，進而擴大企業採用比例與部署規模，因為本身具備更低成本、更大容量的儲存特性，也將有機會解決傳統SSD容量與價格的瓶頸。未來也將有越來越多採用此技術推出的儲存設備。這是第4個趨勢。

第5個趨勢是AI將變得更聰明，開始能提供分析決策，而且能透過AI來優化數據本身，進而改善現有表現不佳的預測模型。

最後一個趨勢則是容器儲存（Container Storage）將成為儲存技術新主流。受到火紅的容器技術掀起雲端應用新浪潮，對於企業來說，2020年也將更全面擁抱容器的儲存架構，用來建立私有雲和混合雲儲存環境，透過持續性儲存特性的容器儲存，以支援更多容器應用，包括使用它建立有狀態應用或關鍵應用等。

12/1~12/21 精選容器新聞

＃Kubeflow #K8s叢集
Spotify揭露第三代機器學習架構，2020年改用K8s調度運算資源

最近知名音樂串流平臺在先前北美Kubcon大會上，對外分享自家機器學習平臺的發展歷程，並首度公開了2020年要上線的第三代機器學習平臺架構，採用了Kubeflow，改以K8s來作為算機器學習運算資源的主要調度平臺。Sptify經常需進行大量機器學習訓練和推論，來分析音樂風格和提供用戶各種個人化推薦音樂。2018年，Spotify自行利用開源資料分析技術，後端採用Scala語言，再搭配Python相關工作流程工具，自建了第一代的機器學習平臺，方便分析團隊快速進行各種ML專案。

第一代的特性是，提供了一系列的選項套餐，方便專案人員運用到不同需求的機器學習應用。但是，Scale語言對資料分析人員來說太難，前後端技術的切換成了不少專案開發的困擾，要統一不同模組間的功能、版本和配置難度也頗高。所以，2019年，Spotify團隊決定，改用Google的Tensorflow Extended（TFX）工具，建立機器學習專案開發的標準化，從儲存形式、預設函式庫、到ML工作流程都有一套制式作業規範，尤其盡量採用Tensoflow擴充元件如Tensorflow Transform、Tensorflow Model Analysis、Tensorflow Serving等，來建立跨團隊的共用標準。

最近，Spotify決定，進一步連ML工作流程和運算資源都進一步建立標準化，開始導入了Kubeflow Pipelines（KFP）。這個架構會將主要的運算元件先打包成Docker容器，再利用Kubernetes來部署成容器應用，和調度運算資源支援龐大運算所需。Spotify表示，先前為了標準化而改用TFX的各種努力，成了後來導入KFP流程的成功關鍵，分析團隊不用重新學習另一套ML任務的管理方式。
另一個KFP的好處是，其SDK允許建立共享的元件，分享給其他流程之用。因此，Spofity產品主管Josh Baer撰文透露，其中一個團隊建立了一段不錯的流程和元件組合，可以分享給其他團隊使用，不用重複造輪子，更有助於建立所有團隊的共通工作流程範本。
下一步，Spofity透露，將進一步發展成分析特徵的共享化，將重要的ML功能變成內部共享的微服務，來加快組合運用的方便性，目前他們正在進行機器學習模型服務化的設計。

#雲端供應商標籤 #新版K8s
今年最終版釋出，Kubernetes 1.17來了

Kubernetes繼續維持著一年四次更新的步調，在12月9日，釋出了今年最後一次的更新1.17版。這個版本最大特色是，雲端供應商標籤成了正式功能，開發者可以用這個標籤，在節點或儲存空間建立時，來標記所用的雲端供應來源或服務所在位置，通常是用來標記這個節點位於哪一個雲端供應商的那個地區（zone）或區域（region），方便辨識和管理分散在不同公雲或私雲平臺上的K8s運算資源。另一方面，等於也可以透過K8s排程器（Scheduler）來調度和部署跨雲K8s節點的優先順序了，或是可以確保某一個儲存空間，都會在同一個雲端供應商區域，避免因跨區儲存而增加了傳輸費用。另外有幾個儲存功能進入了Beta測試版，可預期明年會成為正式功能，包括了儲存快照功能和儲存介面標準CSI都在1.17進入了Beta1版。

#K8s管理 ＃混合雲管理
D2iQ發表企業級K8s叢集管理工具

雲端維運軟體商D2iQ正式推出了企業級家K8s跨叢集管理工具Kommander，可以跨公雲或私雲K8s叢集，自動派送各種治理政策，來建立一個全生命週期的聯合管理流程，要專攻Day2維運市場。這套軟體提供了一個集中式的跨叢集管理介面，也可監控混合雲架構的K8s叢集，也可針對不同叢集進行配置和政策派送、安全規範、更新等管理措施。另外，Kommander還提供了一個資安控管機制，特別用來管理不同應用程式的存取和派送途徑，已確保具有合法權限者才能存取這些應用服務。

#軟體更新 #CNCF
CNCF第一個畢業的規範，軟體更新安全規範The Update Framework出爐

軟體更新安全開源規範The Update Framework（TUF）已經達到CNCF（Cloud Native Computing Foundation）的專案畢業狀態，而TUF也是第一個從CNCF畢業的規範（Specification）專案。TUF專案內含有一組函式庫、檔案格式和公用程式，讓用戶能夠保護新的和現有的軟體更新系統。TUF設計提供最小化影響的方法，並且能彈性地滿足各式軟體更新系統需求，且容易與現有的軟體更新系統整合，包括AWS、Google、Cloudflare、微軟、Docker、IBM、紅帽與VMware等大型企業都採用。CNCF技術長表示，現在開源軟體無所不在，並且在許多裝置上無縫地更新，而TUF在軟體供應鏈上扮演重要的角色。

#GCP #VMware #Serverless
Cloud Run for Anthos加入流量管理功能且支援VMware叢集

GCP的無伺服器容器服務Cloud Run for Anthos，最近新增了多項功能，不只加入了流量管理，也讓Cloud Run現在可以在企業就地部署的VMware叢集中執行，另外還整合了Stackdriver監控服務，讓用戶能直覺查看多項重要服務指標。在可以按配置比例，隨機路由請求或是RPC到不同的服務修訂版本，這項功能可以讓用戶對不同版本的應用程式進行測試，像是對新版應用程式進行金絲雀部署，先發送少量流量到新版本的服務，接著再逐漸提高流量比例，以確保服務的可靠性。

#GKE #Anthos
Google揭雲端原生資安新模式，將支援GKE和Anthos

最近Google悄悄地揭露了詳細的雲端原生資安的新模式，稱為BeyondProd。Google在2014年提出以零信任設計為主的網路安全架構BeyondCorp，現在進一步將資安防護架構，延伸到機器、工作量和各種雲端服務，設計出這個新的BeyondProd。Google訂出了幾項安全原則，包括了在邊緣端保護網路、禁止內部服務共用信任、只用信任機器執行來歷清楚的程式碼、跨服務使用同一套服務阻斷點政策，變更改版要簡單自動又標準化、跨工作量要隔離。Google也將這套資安框架套用到自家產品上，可利用雲端GKE服務和混合雲平臺Anthos和幾個開源資安工具，例如可透過Envoy來管理TLS流量的政策，可用gVisor容器沙箱技術來建立工作量隔離，來設計一套符合BeyondProd原則的資安作法。而Anthos更參考這個資安框架，建立一套自己的現代化應用程式資安建議。

責任編輯／王宏仁

更多Container相關動態

CoreDNS釋出1.6.6版，增加新bufsize外掛

＠資料來源：iThome整理，2019年12月

1219-1225一定要看的資安新聞

＃殭屍網路　＃惡意程式藏身圖片

採礦殭屍網路MyKings將惡意程式藏泰勒絲照片，中國、臺灣與日本都是災區

圖片來源／Sophos

資安業者SophosLabs發現，以Windows伺服器為主要攻擊目標的加密貨幣採礦殭屍網路營運組織MyKings，近期使用了圖像隱碼術（steganography）將惡意的Windows可執行檔嵌入歌手Taylor Swift的照片中，試圖騙過安全偵測軟體的檢查，以部署各種加密貨幣採礦應用程式的更新。SophosLabs提到，MyKings攻擊者會在伺服器安裝一個稱為Forshare的木馬，他們研究發現受感染的端點約有43,900個不重複的公共IP位址，主要散布在中國（18%）、臺灣（11%）、俄羅斯（7%）、巴西（7%）、美國（6%）、印度（4%）與日本（3%）等七個國家。更多內容

＃物聯網安全　＃RSA

在成千上萬的物聯網裝置中，每182個RSA憑證就有1個可被攻陷

專門提供數位身分認證解決案的Keyfactor近日發布了研究報告，他們指出，物聯網（IoT）裝置不僅是韌體安全性受到質疑，還有其他潛在弱點。由於網路上大量的IoT裝置是透過RSA來加密傳輸資料，但它們使用的RSA金鑰也有容易被破解的情況，形成IoT裝置的另一個安全風險。

研究人員解釋，RSA的安全性奠基在第三方很難判斷形成公鑰的兩個隨機質數，但是，他們從許多來源蒐集大量的RSA公鑰，並挖掘出共有的質數，結果，他們發現，在7,500萬個憑證中，有43.5萬個都具備1個共享的質因數，這代表駭客也能重新找到相對應的私鑰，進而利用造成裝置故障或曝露機密資料。更多內容

＃網釣攻擊　＃APT攻擊

數百家製造業者遭網路間諜鎖定，超過一半位於南韓

圖片來源／CyberX

專門提供工業網路安全平臺的CyberX，近期揭露一起網路間諜活動Gangnam Industrial Style。它鎖定數百家工業展開攻擊，以網釣手法偽裝自己來自西門子的子公司、日本大集團的子公司或是買家，在郵件中夾帶惡意的PDF檔案，但該檔案實際上為Separ惡意程式，進而竊取瀏覽器與電子郵件帳密，並搜尋各種文件，以用來發動其他延伸攻擊或竊取專利技術，目前已知受害的企業，有57.4%位於南韓，也有接近13%位於泰國。更多內容

＃非法存取　＃離職員工

英國Jet2航空遭駭是其供應商前員工所為，該嫌被判刑10個月

圖片來源／擷取自NCA

一名27歲的英國男子Scott Burns因非法存取英國Jet2航空公司的電腦系統並刪除資料，而在2018年的2月初遭逮捕，最近被宣判10個月的刑期。根據英國國家犯罪局（NCA）的調查，Burns原本任職於Jet2的資訊服務供應商Blue Chip，握有Blue Chip登入Jet2網路的帳號，直到2017年12月離職。不過，Burns在隔年1月3日入侵了Jet2網路，接著在1月18日展開報復攻擊──他移除了Jet2系統上儲存所有使用者帳號的文件夾，使得超過2千名的Jet2員工無法登入網路及存取郵件，且時間長達12小時。更多內容

＃軟體更新安全

軟體更新安全規範The Update Framework從CNCF孵化器畢業，可獨立運作並以受多家大型企業採用

圖片來源／擷取自The Update Framework

在10年前，有一項可確保軟體更新安全的開源規範The Update Framework（TUF）專案啟動，當時，由美國國家科學基金會和美國國土安全部資助開發，在2017年被CNCF基金會接受為孵化器專案，此後便成為保護軟體更新系統的標準，受到AWS、Google、Cloudflare、微軟、Docker、IBM、紅帽與VMware等大型企業採用。

最近，TUF已經達到CNCF（Cloud Native Computing Foundation）基金會的專案畢業狀態，而它也是第一個從CNCF畢業的規範專案。CNCF技術長表示，現在開源軟體無所不在，並且在許多裝置上持續更新，而TUF在軟體供應鏈上將扮演重要的角色。更多內容

＃軟體漏洞

Dropbox含有可取得系統權限的安全漏洞

圖片來源／Decoder

近期，資安研究人員Decoder公布Windows版Dropbox用戶戶端程式的安全漏洞，將允許駭客取得Windows的SYSTEM權限以執行任意程式。

具體而言，該漏洞並非存在於Dropbox用戶端程式本身，而是發生在Dropbox用來檢查及執行更新的DropBoxUpdater元件。這個漏洞是由Decoder與Chris Danieli在今年9月發現並通報，當時Dropbox承諾要在10月底修補，經過90天緩衝期後，仍未完成修補，因此Decoder選擇公布漏洞細節。不過，專門打造微修補程式的0patch，已經釋出了暫時性的免費修補套件。更多內容

＃商業電子郵件詐騙

以BEC手法假冒廣達向Google及臉書收款，立陶宛男子被判5年徒刑

圖片來源／擷取自美國司法部

之前，臉書、Google曾遭商業電郵詐騙手法攻擊，對方是假冒為臺灣代工業者廣達的立陶宛男子Evaldas Rimasauskas，該嫌在2017年3月被立陶宛當局逮捕，並在同年被引渡到美國，到了2019年3月該嫌認罪，最近則被美國司法部判處5年刑期。紐約曼哈頓的聯邦檢查官Geoffrey Berman表示，Rimasauskas向美國業者詐騙超過1.2億美元，再將這些資金轉往全球各地的銀行帳號，但這起橫跨全球的高科技犯罪，最後還是須在美國服刑。更多內容

＃資料外洩

加拿大醫療實驗室LifeLabs遭駭客入侵，付錢買回客戶資料

圖片來源／擷取自LifeLabs

近日，位於加拿大的一所醫療實驗室LifeLabs，對外揭露遭到駭客入侵，對方在今年的11月1日擅自存取了該實驗室的電腦系統，內含約1,500萬名客戶資料與實驗室測試結果。根據LifeLabs的說明，察覺遭到入侵的當天，它們就向當地的隱私保護機構報告，同時透露駭客還向該實驗室要求贖金，以換回客戶資料。而該實驗室已透過安全專家與駭客協商，並支付了贖金。但就算如此，也難以確保駭客不會複製或濫用所盜走的資料，所以，LifeLabs亦宣布將針對受影響的客戶，提供身分竊盜及詐騙保護保險。更多內容

＃手機隱私安全　＃GPS位置分享

行動程式商出售的手機GPS匿名記錄，能拼湊出用戶真實身分

圖片來源／NewYork Times

美國允許行動程式業者可將經用戶同意而收集的手機GPS記錄，販售給坊間資料公司，這些資料可能來自於天氣、新聞或優惠券等App，以及任何要求使用者分享位置的程式。雖然這些GPS記錄標榜匿名且安全，然而，紐約時報近日取得了一份內含1,200萬支手機GPS歷史記錄的資料庫，他們發現，就算這些資料是匿名的，但當手機用戶每天上班，同時，他隨身的手機同樣跟著每天從甲地移動到乙地時，如此一來，幾乎就能辨識手機主人的身分，隨後即可追蹤該人的足跡，建立特定對象的移動路徑。為突顯其嚴重性，紐約時報又從這批合法資料中，利用美國總統隨扈手機分享給第三方程式的位置資訊，間接掌握川普的活動足跡。更多內容 更多內容

＃網路攻擊

民進黨官方網站遭攻擊，官方網站、郵件系統停擺

總統、立委大選將至，近日民進黨黨部網域伺服器傳出遭到攻擊，該黨的官方網站、郵件系統、會計系統等都無法使用，國內多家媒體報導此事。根據風傳媒的報導，這起事件發生在12月17日的上午8點20分，直到下午3點，伺服器才恢復正常，民進黨祕書長羅文嘉表示，經調查，攻擊者的IP位址是登記在臺灣境內的僑外資公司，後續他們與其確認後，對方表示，其網路位址遭到冒用。
 

更多資安動態
本田汽車的Elasticsearch資料庫又配置錯誤，這次是2.6萬名車主資訊曝光
FBI警告企業留意LockerGoga與MegaCortex勒索軟體
微軟緊急修補SharePoint漏洞
今年美國有超過1,000所學校遭勒索軟體波及
FBI警告：出外旅遊應謹慎使用免費Wi-Fi
Citrix修補遠端程式攻擊漏洞
 

推特對Android用戶發送了應用程式更新建議電子郵件，提到他們修復了一個允許惡意人士查看用戶非公開資訊，並能夠控制用戶帳戶的漏洞，因此建議Android用戶最好更新到最新版本的推特應用程式，而iOS用戶不受此漏洞影響。

推特提到，利用該漏洞，惡意人士能以複雜的手法，將惡意程式碼插入到推特應用程式的受限儲存區域，用來存取用戶諸如直接訊息、受保護的推文和位置資訊等非公開資訊，並且還能執行發送推文或是以直接訊息與其他人傳訊等控制帳戶的動作。

雖然目前沒有任何證據能夠證明，已經有惡意程式碼插入到應用程式中，或是該漏洞遭到利用，但是推特仍無法完全排除可能性，因此特別小心處理這件事。目前推特透過應用程式和電子郵件直接通知受該漏洞影響的使用者，並特別提供說明，說明依據用戶使用的Android和推特版本而有所不同。

推特建議用戶應該將應用程式更新到最新的版本，而已修復漏洞的推特應用程式版本，在Android KitKat的推特7.93.4版本已經在11月4日釋出，而Android Lollipop與以上版本，也早在10月21日釋出推特8.18版本修補該漏洞。

Google的JavaScript和WebAssembly開源引擎V8，經過了十年之後，終於迎來與名稱相同的V8版本，這個版本主要改進了引擎的效能，針對記憶體的容量以及執行速度進行最佳化，開發團隊解釋，之所以能減少記憶體用量，是因為對指標（Pointer）進行壓縮。這個版本的V8引擎將在Chrome 80穩定版中使用。

V8的堆（Heap）包含了各種項目，諸如浮點數值、字串字元、編譯程式碼和標記值（Tagged Value），標記值內容又包括了指向V8堆的指標以及小整數（Small Integer），而V8開發團隊檢視了這些標記值，發現這些值占據了大部分堆記憶體的容量。標記值與系統指標大小一樣，32位元架構就是32位元，而64位元架構便是64位元，比較32位元版本與64位元版本，每個標記值使用兩倍的堆記憶體。

由於指標的高位元可從低位元計算而來，如此便只要在堆記憶體中儲存獨特的低位元，平均就可節省40％的堆記憶體。開發團隊提到，通常要改進記憶體用量，需要拿效能當作代價，但經指標壓縮後，不只記憶體使用量獲得改進，連實際網頁執行與垃圾回收時間也同時也獲得改進。

在桌面瀏覽器，V8整體執行臉書網頁時間減少8％，垃圾回收時間減少10％，行動裝置瀏覽器執行臉書網頁，垃圾回收時間減少了17％。在CNN網站的表現，桌面瀏覽器雖然整體執行時間只減少3％，但是垃圾回收時間卻減少14％，且在行動裝置的表現更好，V8整體執行時間減少8％，而垃圾回收時間高達20％。

PhysX是Nvidia的即時物理引擎中介軟體SDK，即將在2020年推出第五個版本，而官方搶先介紹了新版的功能。PhysX SDK 5.0將會支援有限元素模型（Finite Element Model，FEM），這是廣泛用於汽車業與製造業的模擬技術，以精確模擬剛體和軟零件的結構強度，而現在這項技術將會內建在PhysX SDK 5.0中。

而在液體模擬上，開發人員將可以使用離散粒子來模擬流體與顆粒流，而這項實作是可擴展的，大時步（Time Step）可以用來穩定地模擬各種液體。另外，PhysX 5.0還實作了用在海洋與火山科學的平滑粒子流體力學（SPH），以模擬具有離散粒子的液體。

PhysX 5.0使用限制粒子模型（Constrained Particle Model），讓任意的網格模型都能用來模擬布料或是繩索，這些網格模型可以利用體積預留限制以及應用程式定義的壓力，來模擬可充氣或是膨脹的形狀。基於網格模型的模擬，可以用來模擬氣動升力與阻力，而且形狀配對還提供以粒子群組的機制維持剛性結構，以模擬剛體動力學。

因應5G網路的到來，Intel在今年2月開源了軟體工具集OpenNESS，要讓開發人員更容易在網路邊緣或本地機房（on-premise）中，開發、佈建和管理5G網路服務，建立起多接取邊緣運算（MEC）的應用環境。而鴻海自今年7月起，也應用OpenNESS來開發5G企業專網解決方案，將會在集團內部部署，目前也正在與國外電信設備商洽談合作，明年更要瞄準臺灣企業專網市場來推廣。

Intel開源的OpenNESS軟體工具，宣稱能讓非電訊專業的開發者，也能透過API，輕鬆把在雲端訓練的模型部署到邊緣端來執行，包括AWS IoT Greengrass、Azure IoT Edge以及Baidu Intelligent Edge等環境。也就是說，OpenNESS提供了在邊緣調度的框架，類似OpenStack、Kubernetes的功能，不同的是，它支援了ETSI多接取邊緣運算（MEC）標準，以及5G網路架構的3GPP標準，更適用於如LTE、5G、WiFi和有線網絡等電信網路架構中。

且因OpenNESS是個開源工具集，所以部份業者也可以透過其中的軟體來創新服務。比如鴻海，就是將第一代企業專用網路解決方案中應用的OpenStack平臺，改以OpenNESS替代，開發出第二代Local5G邊緣解決方案。

鴻海資深副理黃智源表示，與OpenStack相比，OpenNESS平臺更聚焦網路架構來優化，讓開發者能透過API將資料流量從核心網路引導到5G邊緣端，同時也提供API來部署、管理、與自動化邊緣運算的叢集與叢集上方的應用。

儘管Intel在今年2月剛開源OpenNESS時，將該工具集比喻為一個簡單按鈕，讓雲端、IoT開發人員能在網路邊緣環境建立起5G應用，但黃智源認為，要應用這套工具集仍需具備一定的專業知識與門檻，這也是鴻海要整合OpenNESS平臺到硬體伺服器的原因，「我們提供SI客戶整合過的API，它後面可能還有10幾個API，要操作很困難，就是要讓SI不用去管這麼複雜的虛擬化、加速、通訊這些技術跟基礎建設。」黃智源表示。

而鴻海推出的5G企業專網解決方案，搭配的是通用型的硬體伺服器，企業可以將整套設備部署在5G基地臺附近，再透過API執行AIoT的應用。而這套解決方案也會先在鴻海集團內部署，再擴展到全球的客戶。「我們的目標是企業專網市場。」黃智源說，除了正在與國外電信設備商洽談合作，明年也要瞄準臺灣企業專網市場來推廣。

歷經美國禁令、Google停止Android及應用程式授權的風波後，華為決定要建立自己的手機軟體套件。

華為印度分公司消費業務事業群總裁Charles Peng周二接受Economics Times訪談中指出，華為旗下子品牌Honor正和150家印度App開發商洽談合作，希望將之整合到華為行動服務（Huawei Mobile Services，HMS）。這批談進來的App將被用於沒有Google行動服務（Google Mobile Services，GMS）的新手機上。他指出，大部份App如搜尋、支付、遊戲和通訊App也即將準備就緒。

在今年5月美國將華為列入技術輸出管制的實體名單（entity list）後，Google率先宣佈中止對華為行動裝置提供Android及GMS。GMS包含廣受歡迎的Google服務，像是Gmail、Google Maps、Google Search、YouTube等等。今年推出的華為旗艦機Mate 30系列就無法搭載這些App。

這也是今年稍早華為宣佈投入10億美元建立自有生態體系（ecosystem）計畫的一環。華為指出，華為將在中國和印度各招募100家App合作夥伴，其中印度App將用於印度、歐洲及其他市場。華為將祭出每支App最高1.7萬美元的代價，換取App廠商整合入HMS。

在此之前，華為已經著手開發作業系統，企能擺脫Google牽制。除了鴻蒙（HarmonyOS）外，另有國外媒體報導，華為也正悄悄和俄羅斯電信業者Rosetelecom合作，在手機上安裝以Sailfish OS為核心所開發的Aurora OS，藉以取代Android。

Economics Times另外也報導，另一家手機品牌Oppo也計畫2020年砸下1.43億美元，鼓勵各地開發商為其自有作業系統ColorOS開發手機App。

Uber於本周宣布，該公司的共同創辦人暨前任執行長Travis Kalanick將在今年12月31日離開董事會，同時其發言人亦對外證實Kalanick已在前兩個月拋售了手上所有的Uber股份，估計價值超過25億美元。

現年43歲的Kalanick是在2009年與Garrett Camp共同創立了Uber的前身UberCab，並在2011年更名為Uber。他從2010年年底開始接任Uber執行長一職，但2017年時在多名股東的施壓下卸任，僅保留董事身分，現在Kalanick不僅離開Uber董事會，也拋售手上所有的Uber股票，等於完全切斷與自己一手創立的Uber的關係。

Kalanick表示，Uber在過去10年一直是他生活的一部份，但隨著Uber上市，現在應是他去追尋現有業務與慈善事業的時機了。

在今年10月出爐的Forbes 400美國富人排行榜上，Kalanick以35億美元的身價排行第239名。

中國官方系統加速導入區塊鏈技術。周二中國外匯管理局表示，將擴大跨境金融區塊鏈平台測試的區域。

中國今年三月底上線並測試跨境金融區塊鏈平台，也是中國官方在主管機關網信辦審查的唯一區塊鏈。這個平台主要利用區塊鏈不可竄改的特性，解決企業跨境融資風險高、審查手續繁複帶來的成本昂貴及速度慢的問題。

中國當地媒體報導，以中小企業跨境融資而言，從文件到銀行審查每個環節都需要2、3天，利用區塊鏈，約30秒即可完成。

路透社引述中國媒體指出，截至12月下旬，跨境金融區塊鏈平台測試已擴及19省，自主加入的銀行超過170家，超過辦理外匯業務銀行的1/3。

俄國政府本周宣佈，已經成功測試將俄羅斯網路切斷和全球的連線。

俄羅斯政府為確保網路主權，防範外國勢力入侵，近年積極打造能必要時讓俄國網路獨立於全球體系之外運行的RuNet架構及相關技術，包括自建DNS伺服器以掌控所有境內流量。

上周俄羅斯緊急回應部，連同當地ISP及網路公司針對RuNet進行為期數天測試。俄羅斯宣傳部長Alexey Sokolov指出，結果顯示俄羅斯政府和電信業者已經準備好，在威脅發生時能有效維護該國網路的完整，確保境內網際網路及整合電信網路的運作無礙。

測試情境包括像是當「外部」不良勢力介入下的網路安全及完整性、針對行動用戶的個資保護、攔截流量與SMS以揭露用戶地點的能力、檢查電廠等重要關鍵基礎設備等物聯網裝置漏洞。

俄國政府表示未來幾年內會持續投入研發，因為外國及網路威脅勢必會發生，俄國必須做好萬全準備。

外界批評俄國政府進一步加大對該國人民言行的監控。為了支持網路監控的合法性，今年5月俄國總統普丁簽署了網路主權法案，允許ISP必要時可深度檢測境內流量封包內容等。

數個星期前，俄國國會也通過《消費者權利法第四修正案》，要求在俄國銷售的手機、伺服器、PC和智慧電視，都必須預安裝俄國廠商開發的app。雖然當局說這是保護本國產業，但也外界也懷疑這是加強監控人民的手段。若經普丁簽署，本法令可望在2020年7月起上路。