2/7~2/26 精選容器新聞:資安、法遵、Gitops是重點

#Docker安全、#配置錯誤、#DevOps安全
資安專家：小心Docker儲存庫沒鎖好，117個線上儲存庫不設防曝光3千份程式碼

最近Palo Alto旗下資安團隊Unit 42發布2020春季雲端威脅報告，這次焦點是DevOps安全，其中Unit 42團隊利用常見的網路埠搜尋引擎，在網際網路上尋找安全防護不夠嚴謹的Docker儲存庫服務（registry），也掃描了使用DockerHub、Amazon的ECR、微軟ACR和GCP的GCR的線上Docker儲存庫。

結果發現，在公開網路上找到了941個儲存庫服務，其中有117個不需驗證就可存取，總計高達2,956份應用程式的程式碼，完全公開在網路上。而且有17.5％的儲存庫使用了沒有加密的HTTP傳輸協定來提供存取介面的操作，也可能遭入侵或攻擊。不設防的117個儲存庫，其中80個允許Pull操作，92個允許push操作，更有7個可以從外部任意刪除檔案。光從網址反查這些儲存庫，包括了研究機構，零售業者、新聞媒體、科技公司都有曝光者。

Unit 42資安專家推測，警告，駭客可以利用Push權限，在原有程式碼中植入惡意程式，而Pull權限則可讓駭客複製打包成另一個加料（內建惡意程式）的問題映像檔版本來釣魚。而那些提供刪除權限的儲存庫，可能淪為勒索軟體綁架檔案的肉票。資安專家建議，除了趕快在Docker儲存庫上啟用安全機制之外，最好也用自動化工具徹底地掃描一下自家所有的程式碼。

下圖為Unit 42使用的Docker儲存庫資安掃描流程。

#資安法遵,#DevSecOps
K8s應用法規遵循有工具，Alcide資安平臺開始支援GDPR和PCI DSS標準

K8s資安業者Alcide技術長Gadi Naor宣布，掃描K8s叢集時，也可加入歐盟個資規範GDPR和支付安全規範PCI DSS兩大規範的規則了。Alcide資安平臺是一套雲端K8s環境的DevSecOps工具，利用機器學習演算法，來判斷K8s環境中的配置問題或潛在資安風險，也作為資安管理和稽核之用。

Gadi Naor1表示，零售業稽核要求上，PCI標準對於顧客信用卡資料有一套必須持續遵循的要求，但要把這些規則，尤其是對網路環境配置的要求，套用到K8s複雜的叢集網路架構上，相當麻煩，例如針對Node、Pod或整個叢集都得有一套檢查的配置規則，同樣地，對個資規範要求嚴格的GDPR也是，如何避免錯誤配置導致個資曝光或誤用，配置管理的複雜度也很高，需要透過自動化的工具，來檢查和管理不同程式碼和應用程式的配置設定，才能快速發現問題。Alcide資安平臺還提供了一個稽核儀表板，會分門別類地列出K8s環境中的潛在配置問題和資安弱點，並按資安威脅低、中、高的風險來分類，方便DevOps團隊安排優先解決的議題。

#GitOps,#應用程式交付
簡化K8s應用配置，GKE推GitOps交付新工具測試版

K8s應用程式配置太冗長複雜，很難大規模管理，尤其在不同開發布階段，儲存在不同Git儲存庫時更難管理。Google釋出了應用程式管理器（Application Manager）測試版，這是GKE的應用程式交付解決方案，可讓開發人員創建從開發到生產階段的應用程式交付流程，同時結合Google所推薦的GitOps最佳實踐來管理發布版的配置。

這個應用程式管理器，遵循GitOps原則，利用Git存儲庫進行宣告式配置管理，可以讓開發者在將變更實際部署到環境之前，先對其進行審查和稽核。且應用程式管理器還會自動建置和執行建議的Git存儲庫結構，開發者可以使用Kubernetes配置管理工具Kusnetize，進行無模板自定義配置。

#程式開發,#GitHub
鍵盤開發更方便了，GitHub推出命令列工具，支援3種OS

GitHub釋出命令列工具Beta測試版，官方表示，GitHub CLI提供了一種簡單無縫的GitHub使用方法。用戶現在已經可以在macOS、Windows和Linux上安裝GitHub CLI。現在提供一些開源貢獻者會使用的基本功能，從問題（Issue）以及拉取請求（Pull Request）開始。貢獻者可以利用GitHub CLI搜尋開源專案並複製（Clone）該儲存庫，並且能看到由專案維護者釋出，已標註需要幫助標籤的問題。接著，開發者就能直接從GitHub CLI開啟瀏覽器，取得問題的詳細資訊。

開發者可以創建分支，提交幾次修復程式碼以修復問題所描述的臭蟲，並且創建拉取請求分享貢獻。在創建拉取請求時，GitHub CLI也會在沒有分叉時，自動創建分叉推送分支，接著才創建拉取請求以合併更改。

#K8s遷移 #系統搬家 #遷移自動化
VM應用搬上K8s有新工具，開源轉移工具Konveyor逐漸受到矚目

熟悉傳統虛擬化環境的企業，若要改用Kubernetes，其中一大挑戰就是得將現有在VM上的應用系統，轉移到K8s上。但是一一追蹤和調教不同應用系統的轉移工作，是一大工程。最近有一個新興開源K8s工具Konveyor，提供了一套K8s轉移的工具包，包括可以自動探索現有環境中的應用系統配置和資源，來進行可轉移應用的評估，提供轉移的建議作法，甚至還提供了自動轉移的搬家工具，可以用來簡化企業大批現有系統搬家的繁瑣工作。

這套搬家工具可以支援多種環境，包括了企業常用的虛擬化環境VMware vSphere，以及開源的OpenStack，另外也可支援Ansible、AppDyamics和Dynatrace環境配置，可支援本地端或雲端的原始碼或儲存在典藏區應用程式的轉移。開發者能自訂訂定特定條件來客製轉移建議作法。

#服務網格,#外部金鑰
K8s服務網格工具Linkerd發布2.7新版，支援外部PKI金鑰可用內部基礎架構

在2月初，K8s服務網格工具Linkerd再次推出新版，2.7版最大特色是共用的TLS加密基礎架構，現在可以支援外部驗證工具的授權使用者，例如Vault或cert-manager，官方指出，這個鬆綁有助於建立一個更透明化的gitops工作流程，因為這也意味著，Linkerd的配置檔也可以安全地放到版本控制系統中來管理，因為Linkerd可以整合外部的版本控制軟體，這是多數開發者最期待的功能之一。另一個好處是，現在也可以輪流使用Linkerd的TLS憑證。

2.7版還有不少更新，例如儀表板也提升了不少，現在可以顯示CronJob和ReplicaSet的資源，更清楚例行性任務和重複資源的調度，另外也有一套預先配置的Grafana儀表板，方便企業自建。新版對於K8s應用程式格式Helm的chart檔也有新功能，CNI範本將建立一個獨立的chart檔，並且會定期參考社群最佳作法來更新範本檔的配置。

#資安漏洞,#Istio,#緊急更新
Google開源微服務管理工具Istio緊急修補重大資安漏洞

Google在自家混合雲產品中，使用了一套開源的微服務管理工具Istio，可用來簡化跨雲間服務工作的管理，一家服務網格新創Aspen Mesh最近發現Istio的一個重大資安漏洞（CVE-2020-859），這是一個授權政策精確路徑匹配的邏輯漏洞，可以讓攻擊者繞過驗證機制，直接透過HTTP來存取。這意味著，攻擊者只要在網址上利用?或#字元就可以進行入侵。這個漏洞的衝擊評分為9分，屬於重大漏洞等級。受到影響的版本，包括了Istio 1.2.10與更早版本，1.3到1.3.7，1.4到1.4.3版。新版1.3.8和1.4.4以後版本則已經修復這個問題。紅帽則在OpenShift Service Mesh 1.0.7版中修復了這個漏洞。

#叢集管理,#GKE
GKE兩項小功能進入正式版，但讓叢集管理更方便了

最近Google的GKE服務有兩項小功能進入了正式版本，分別是指定節點資源池託管地點（Node pool location）和節點分批升級（Surge upgrades）。前者可以讓使用者自行指定任一個節點資源池所在的服務區域（Zone），而不用跟整個叢集部署在同一個Zone，這有助於建立分散備援架構。節點分批升級機制則可以讓使用者指定額外的備用節點數量，以及可接受的最大當機節點數，一旦升級過程出現節點失連，就可讓額外的備用節點接手，來提高升級過程的可靠度，來降低升級失敗的風險。

#Anthos,＃儲存認證
Google混合雲產品Anthos推出認證儲存廠牌了

Google以K8s打造的混合雲產品Anthos越來越成熟了，在2月下旬，增加了一項Anthos Ready Storage的功能，可用來判斷那些儲存產品廠牌，可用於企業內部的Anthos建置，目前通過Google認證的Anthos儲存廠牌包括了Del EMC、HPE、NetApp、Portworx、Pure Storage和Robin.io。GCP產品經理Manu Batra指出，通過驗證者，意味著其產品，可以使用公開、可攜的K8s原生儲存API來進行儲存空間的動態配置，另外，也必須能夠在叢集自動擴充或縮減的情境下提供儲存管理自動化的能力。另外，這些廠商的產品也必須遵循K8s最佳實務的簡化部署建議。除了儲存認證廠牌之外，Anthos先前也推出了網路認證廠牌和基礎架構平臺認證廠牌，來擴大Anthos產品生態系。

#微服務管理,#K8s工具鏈
強化管理工具鏈，Mirantis買下芬蘭容器微服務新創Kontena

從OpenStack生態轉攻K8s生態的雲端軟體商Mirantis持續透過併購來強化自家K8s工具鏈，最近買下了芬蘭容器新創Kontena，這家公司有一套自己發行的K8s版本Kontena Pharos，不只增加了不少網路配置管理功能，也早在2018年就可以支援ARM 64位元架構處理器的部署。Mirantis表示，主要看上了Kontena強大的RBAC角色管理功能和跨叢集管理工具，未來會整合到Mirantis的DKS（Docker Kubernetes Service）和通用管理平臺UCP上，也會將這個K8s版本用於部署混合雲的裸機部署上。

責任編輯／王宏仁

更多Container相關動態

• Linux基金會的免費K8s線上課程，修課人數破10萬人
• CoreOS Container Linux原廠支援將於5月正式終止
• VMware調整產品軟體授權模式，單CPU超過32核心需多買一份授權

由臉書和紐約大學研究人員合作的FastMRI計畫，最新研究不只可以將磁共振成像（MRI）掃描的速度提升10倍，同時還能以深度學習解決圖像偽影的問題，提高整體影像品質。他們找來放射科醫師進行盲測，證實新技術所產生的影像，可以在保持細節的條件下，產生更少偽影的MRI圖像。

研究人員提到，深度學習要從較少的原始資料產生高精準的MRI掃描圖像時，通常會出現帶狀或是條紋狀的偽影，這些偽影會干擾或是遮蓋圖像的細節，雖然一般人很難注意到偽影的存在，但是對於需要辨識圖像中微小變化的專業放射科醫師，則會產生很大的影響。

紐約大學Langone Health放射科學教授Michael P. Recht表示，在他們查看由人工智慧加速產生的MRI圖像時，發現了明顯水平條紋偽影，會大幅降低圖像品質，且可能蓋住病徵。

為了解決這些問題，FastMRI研究團隊利用對抗訓練技術來產生深度學習模型，該模型從經加速的MRI掃描獲取原始資料，並產生不含偽影的準確MRI圖像。在對抗學習中，訓練目標會增加額外的損失函數，以鼓勵模型以某種方式騙過對抗網路，而在FastMRI這個案例，目標則是要預測帶狀紋路的朝向。

在訓練過程中，藉由在重建前後隨機調換輸入的資料，可以產生水平和垂直的帶狀條紋，而同時訓練對抗網路和重建模型，隨著重建結果獲得改進，對抗網路也會逐漸適應，直到最後沒有條紋產生。

FastMRI計畫可以加快MRI的掃瞄速度，減少患者在掃描裝置中的時間，研究人員表示，圖像偽影一直是人工智慧加速MRI的主要問題，所以這項研究的進展，可以幫助FastMRI計畫更接近臨床實作，而且這項研究具有廣泛的使用性，可以用在任何充分採樣的真實資料以及重建模型上。

另外，現在世界上普遍還是使用較低強度磁體的MRI掃描裝置，這些裝置會產生更多具有帶狀偽影的圖像，而FastMRI研究團隊的這項新研究，將可以產生更好地重建結果，並加快裝置的掃描速度。

以客戶關係管理（CRM）服務聞名的Salesforce，在本周二（2/25）公布了幾項大事，包括揭露該公司上一季的營收、併購專門打造特定產業雲端及行動軟體的Vlocity，以及宣布2018年才上任的共同執行長Keith Block卸下執行長一職。

Salesforce本周公布的是截至今年1月31日的2020財年第四季財報，指出該季創下了48.5億美元的營收，成長35%，而全年營收則是171億美元，成長29%。

Salesforce同時也宣布在2018年上任的共同執行長Keith Block將卸下此一職務，並由Marc Benioff 擔任Salesforce唯一的執行長，Block之後將繼續擔任Benioff的顧問。

Block在2013年時從甲骨文加入Salesforce，擔任Salesforce的總裁，在2016年接任營運長，並在2018年被拔擢為共同執行長。Benioff曾表示，他希望Block可分擔執行長的業務，以讓他有機會做其它想做的事情，當時外界曾揣測此舉是為了讓Block未來可單獨承接執行長一職而舖路，不過看來並非如此。

另一方面，Salesforce已以13.3億美元的現金，併購專門替垂直產業打造CRM雲端及行動軟體的Vlocity。Vlocity鎖定了7個產業，涵蓋通訊、媒體及娛樂、能源、公用事業、保險、健康及政府。

創辦人暨執行長David Schmaier表示，當他在1993年剛開始涉足CRM領域時，便發現不同領域的客戶需要在他們的CRM軟體上加上特定的功能，例如製藥產業需要12項，銀行需要10項，或是電信業者需要17項等，才衍生出把Salesforce的CRM能力，延伸到需要數位轉型的6大產業之想法。

Salesforce則說，未來Vlocity所開發的功能集，將繼續強化及補充Salesforce的產業能力與產品知識，提供客戶更多的工具化，以協助它們進行數位轉型。

臺北市政府宣佈和臺灣智慧駕駛公司合作，將利用夜間凌晨時間，在臺北市信義路的公車專用道展開測試，自駕巴士將在5月上路測試，9月開放民眾試乘體驗。

這項計畫已在2月18日審核通過，將為期一年分3個階段進行，首先第一階段為測試的前置作業，包括繪製高精地圖、設置路口偵測設施、充電站、安全告示牌；其次，第二階段會在5月讓自駕巴士開始上路測試，共有三輛自駕巴士進行測試，分別為1輛4米小巴，以及2輛6米中巴，測試期間將乘載測試人員，最後第三階段將在9月開放民眾試乘，至明年2月。

自駕巴士測試將會在凌晨的00:00至2:30時間進行，巴士將以時速15公里以內，在臺北市信義路的公車專用道(信義路-中山南路口至信義路-基隆路口)進行測試，行經敦化南路、復興南路、建國南路等多個路口，原本深夜時段開放一般車輛行駛公車專用道，測試期間將會封閉公車專用道。

臺北市政府交通局表示，臺北市先前在2017年進行過自駕巴士道路測試，當時測試也是在深夜時段，路段只有信義路四段的復興南路、敦化南路口，這次測試路段行經多個路口，並有安全告示牌、隨車人工駕駛等多項安全配套措施。此次自駕巴士的道路測試，將作為未來評估利用自駕巴士補足深夜時間公車、捷運停駛缺口的可能性，成為民眾深夜乘車的選擇，也能解決駕駛短缺的問題。

至於臺北市未來何時會部署自駕巴士，交通局表示，目前仍以和業者合作測試為主，評估自駕巴士投入公共運輸的可能性，還沒有實際導入的時程。

臺灣智慧駕駛公司執行長沈大維指出，此次測試的車輛，先前已在臺南沙崙的自駕車測試場域進行測試，和臺北市政府的合作，將利用實際市區道路，測試自駕巴士的夜間行駛能力，包括晴天、陰天及雨天等各種天候，感測器是否能在夜間發揮正常。其次測試多個路口的行駛狀況。

臺灣智慧駕駛公司的自駕巴士採用光達、雷達、攝影機等感測器，為電動巴士設計，續航力可達150公里，其中4米小巴可乘載9人，6米中巴可乘載最多34人。

沈大維表示，這次測試路段經過多個路口，為了行駛安全，每輛自駕巴士測試時將會有隨車人工駕駛參與，在必要時接手控制車輛。至於行人安全方面，自駕車在8到10公尺偵測行人時減低車速，5公尺自動煞停，遇到緊急狀況時加重煞車力道。

為了辨識路口交通號誌，除了自駕巴士的攝影機外，自駕巴士也蒐集行控中心的道路號誌資訊，並在光復南路、敦化南路設置偵測設施，以偵測橫向車道來車狀況，透過短距通訊向自駕巴士提供路況資訊。

臺灣智慧駕駛公司的自駕巴士，宣稱系統100%自主研發，將近70%硬體為國產自製。之前曾在桃園農業博覽會、臺中麗寶樂園作過短期測試。

按照臺灣智慧駕駛公司和臺北市交通局的計畫，5月開始上路測試後，雙方將評估是否達到目標，9月開放民眾試乘至明年2月，將近半年的時間，讓有興趣的民眾可以親身試乘體驗。

在此之前，在臺北市政府在2017年和另一家自駕巴士業者合作測試，同樣選在凌晨深夜時段測試，但測試路段只有信義路四段，且僅開放2天供民眾試驗。

Firefox開始採用了一種稱為RLBox的方法，來增加Firefox的安全性。RLBox是一種新的沙盒技術，可有效率地轉換現有Firefox元件，使其在WebAssembly沙盒中執行，目前Mozilla已經將這項技術整合到Firefox程式碼庫中，會先用於Graphite字體塑形函式庫中。

Mozilla提到，像Firefox這種複雜且經高度最佳化的系統，維持記憶體安全是重要且困難的工作，由於Firefox主要是用C和C++開發而成，但這兩個語言惡名昭彰地難以安全使用，任何錯誤都可能導致程式被入侵。為此Mozilla目前採取了兩種方法，來提高Firefox的安全性，一種是將程式碼打散進多個沙盒程序中，並降低其權限，另外一種則是以更安全的程式語言Rust重寫程式碼。

不過這兩種方法都有其限制，程序級的沙盒會消耗大量的系統資源，必須要謹慎使用，而數百萬行的C++程式碼要以Rust重寫，則是一個大工程。因此Mozilla引入了第三種的方法RLBox沙盒技術，來提升Firefox安全性。

RLBox能以最大程度降低Firefox要以安全的方式，執行不受信任程式碼的負擔，其在C++類型系統中，強迫採用靜態資訊流和輕量級動態檢查。RLBox透過軟體的故障隔離與多核程序隔離，來達成有效的沙盒化。研究人員提到，RLBox付出的效能成本適度且短暫，對頁面的延遲影響很小，而現在RLBox已經被整合到Firefox中，對Graphite字體塑形函式庫進行沙盒處理。

Firefox利用Graphite來正確呈現部分複雜的字體，而之所以先對Graphite使用RLBox，Mozilla提到，是因為Graphite太小以致於無法放在自己的程序中處理，但因為其存在記憶體安全上的隱憂，即便是在網站隔離程序架構，也無法阻止惡意人士透過有漏洞的網頁，讓瀏覽器載入惡意字體。不過，重寫和維護這部分的程式碼，也不是Mozilla目前開發資源能夠應付的。

除了字體塑形函式庫，RLBox也可以用在其他函式庫上，即便是效能吃重的運算任務也沒問題，像是圖像解碼函式庫、影片解碼函式庫、音訊解碼函式庫，或是zlib解壓縮函式庫等。

有了WebAssembly沙盒核心基礎設施，Mozilla接下來便會擴大其在Firefox中的應用，除了在更多平臺上支援外，也會應用在更多的元件上，目前的重點擺在和Firefox捆綁一起的第三方函式庫上，未來也會擴大應用到第一方程式碼。這項隔離技術將會先在Linux的Firefox 74，和MacOS的Firefox 75版本上提供，不久之後也會部署到Windows版本上。

第1期重點：企業抗疫實例，產業因應建議，IT抗疫好用工具

隨著武漢肺炎疫情持續發展，政府今天再次拉高武漢肺炎的因應層級，行政院長蘇貞昌在2月27日行政院中裁示，中央流行疫情指揮中心，從二級提升為一級開設，由衛福部長陳時中擔任指揮官。在衛福部疾管署1月13日公布的政府武漢肺炎整備應變計畫中，將政府在應變階段中的疫情風險區分為4級，並有對應的指揮體系。政府早在1月23日就進入2級開設，由陳時中擔任指揮官，加速展開了多項抗疫防疫措施，2月27日再拉高到最高的1級開設，並由陳時中繼續擔任指揮官。

衛福部訂定的武漢肺炎應變策略分為9大面向，從強化疫情監視與風險評估、提升邊境檢疫、完善醫療體系、調度管理防疫物資、強化檢驗診斷能量、持續風險溝通、社區防治、流行病學調查、發展國際合作。疫情等級進入一級應變時，多數作法仍延續二級疫情的應變措施，不數政府機關可以展開進一步的抗疫準備和對策。

例如醫事司會按計畫在一級情時會進行統一調度全國各醫療院所的病床、人力和醫療資源。食藥署則要辦理緊急用藥的進出口、新藥或新疫苗和器材的快速評估審查和進口。社會救助及社工司則要辦理群眾、病患和家屬的心理衛生服務。

另外一個重點是，各主管機關要開始推動各自所負責產業或所屬機構的營運持續方案，例如醫事司負責推動醫療體系的營運持續方案，而交通部則負責交通設施的持續營運方案，必要時協調交通工具的徵用。經濟部則要負責推動商業界和水電等重要國營事業的營運持續方案。政府機構營運持續方案則由行政院人事行政總處負責推動。而金管會也早就強力要求金融機構做好營運不中斷的因應和對策。

企業如何落實持續營運的計畫，在長期抗疫作戰上，守住營運不中斷的防線，以下也有一些企業實例和BCM經驗可供參考。

企業抗疫實例

【醫院抗疫實例：成大醫院】導入檢疫平板與武漢肺炎AI，全套檢疫作業快4倍

1月23日小年夜，中央流行疫情指揮中心成立後的第三天，成大醫院就啟用了一套武漢肺炎戰情資訊看板上線的第一天，從此，這個由六個大螢幕組成的資訊看板，成了成大醫院防疫團隊每天早晨防疫會議的決策重要參考。不只第一手掌握疫情情報，成大醫院更從檢疫流程下手，利用平版電腦結合病歷自動化加速病史詢問，利用肺炎AI輔助，來加速肺部X光片的判讀，並搭配智慧臨床決策來加速，抗疫期間醫療人力需求大增的複雜調度問題。

【金融抗疫實例：彰化銀行】落實營運持續，更揭露資訊作業災害復原計畫的關鍵IT作法

如同多數金融機構，彰銀有一套業務永續運作計畫（BCP），更在2018年取得ISO 22301：2012營運持續管理系統（BCMS）的認證，連手機App都納入ISO 22301認證範圍。彰銀IT團隊更以此訂定了一套資訊作業災害復原計畫（Disaster Recovery Planning，DRP），按系統重要性，分為核心帳務系統、開放系統，再考量這些資訊系統停頓時間造成分行營運的衝擊，依照彰銀自家BCP標準，再細分3個等級來規畫對策。

【製造業抗疫實例：雙鴻科技】區分4級災難風險，再訂出4級系統復原對策來確保營運

員工數3千人規模的電子零組件業雙鴻科技，早在2016年就以滿足客戶交付需求為目標，訂定了一整套BCP作法，涵蓋了各特別事件包含地震、颱風等天災，還有公用事業供應中斷、勞力短缺、關鍵設備故障，以及與資訊部最切身相關的IT系統損壞等情況。雙鴻依災難對資訊系統的影響程度，分為4級，各層級有不同的行動準則，並預先制訂了4種系統復原的等級，區分不同類型IT系統的復原需求。

【紡織業抗疫實例：聚陽實業】爆量遠端工作負載，成IT長期抗疫大挑戰

「如果遠端工作的規模擴大到所有員工，在長時間需要維持在家工作（如2～4周）的情況下，IT團隊要如何因應？」不只是短期應變，而是長期抗疫的IT考驗，這是員工數超過3萬人，且分散多國的紡織大廠聚陽實業已經開始思考對策的課題。他們正從營運持續計畫的落實、彈性工作場所、完整即時通訊平臺、VPN網路流量負載、遠端桌面負載等方面著手。

【製造業抗疫實例：車王電子】IT平日落實2大準備，傳染病爆發不怕工廠遠距管理挑戰

武漢疫情重擊製造業在中國的供應鏈，在寧波設有工廠的臺灣汽車電子龍頭車王電子，第一時間就成立了緊急應變小組，由高層主管親自和寧波工廠幹部共同掌握即時疫情變化。車王所有系統資料都以數位化，資訊系統也全面集中設置在臺灣，所以，可以確保資訊系統的運作，目前車王靠多項遠距管理機制，於疫情期間在臺灣就能掌握工廠的現場狀態

【醫院抗疫實例：彰化基督教醫院】靠企業IM即時應變指揮，醫院IT更分三級因應

早在農曆年前疫情升溫之前，站在第一線的醫院就不敢馬虎，紛紛展開備戰。在IT對策方面，彰基的資訊部門平時已針對重大災難或意外事件確保IT系統的可用性，包括了系統備援與資料備份，涵蓋網路交換、資料庫、應用主機系統等。彰基將IT災害應變分為三級，系統熱備援、資料備份，到總院資料遠端備份都有，並有一套企業即時通訊平臺和遠距辦公機制來應變。

【軟體新創抗疫實例：優拓資訊】全員遠端工作徹底避險，但得更講究即時溝通和例會互動的細節

對小型公司和軟體公司而言，可以改用遠端工作來降低疫情風險，但這不只是利用即時通訊軟體、視訊工具或雲端協作平臺就夠了，還要講究改成遠距辦公時，在互動溝通上的細節，才能延續和原有面對面溝通的效率和生產力，AI新創優拓資訊的作法值得參考。

【醫院抗疫實例：北醫附醫】對抗疫情不只有醫護人員，IT也站上第一線應變

北醫附醫防疫除了醫護人員，IT人員也跳入第一線參加應變會議，即時成立專屬追蹤平臺，來掌握職員與患者的發燒狀態、旅遊史，以及院內物資動態，要用IT一起防疫。

IT抗疫好用工具

約翰·霍普金斯大學發表可追蹤武漢肺炎災情的即時地圖
這份即時地圖，成了全球追蹤疫情的關鍵工具。美國約翰·霍普金斯大學透過蒐集媒體、社群、官方等多種資訊源，在全球地圖上呈現了確診及死亡數據，也允許使用者免費下載資料，內含在中國與其它國家的可疑及確診案例。

臺灣也有本土自製「武漢肺炎疫情地圖」，要讓國內企業一眼就能掌握疫情數據
採用與霍普金斯大學疫情地圖同樣的平臺，逢甲大學GIS資訊專業人員利用國內衛福部疾管署所發布的資訊打造新版本，提供更貼近本地所需重視的資訊，該作者並希望能讓更新頻率達到每天1到2次。

疾管家Chatbot爆增百萬用戶查疫情！DeepQ靠彈性架構撐住20倍瞬間流量
民眾快速了解最新政府防疫對策的工具，就是疾管署的LINE聊天機器人，從過年至今，這個Chatbot的訂閱人數，快速數十萬暴增至上百萬人，負責開發維運疾管家的HTC健康醫療事業部DeepQ，採用了可擴充架構，在流量大的情況下可快速手動調度基礎架構的資源來因應。

衛福部擴大遠距醫療適用範圍，全臺支援醫院準備好了
政府擴大通訊診療適用範圍，將居家隔離和檢疫民眾的就醫也擴大列入通訊診療的適用範圍，讓有就醫需求的民眾，可以打給1922防疫專線，透過衛生局轉介到指定的支援醫院，讓醫生在醫院可透過電腦、手機或平板上的視訊來診療，甚至可以線上開藥，給居家檢疫或隔離的民眾，再由家人代領

防止疫情擴散！衛福部跨部會打造入境檢疫系統和尋人資訊系統，來減少時間差
衛福部資訊處跨部會合作，整合了移民署、戶政司、NCC）等部會資料，連夜趕工打造出一套尋人資訊系統，於2月13日正式上線。目前這套尋人系統先整合了衛政和民政資料，未來計畫還要結合警政資訊，當居家檢疫或隔離對象失聯超過24小時，就會自動通報警政單位，來尋找失聯人口。

IT也能寫程式抗疫，全臺開發者紛紛站出來，光是口罩查詢地圖就有49款
隨著臺灣實施口罩購買實名制，到哪裡買得到，成了民眾最想知道的資訊之一，健保署也釋出口罩庫存資料至政府開放資料平臺，帶動了全臺最大規模的黑客松開發熱潮，許多IT人和開發者紛紛站出來幫忙，打造了各式各樣的查詢機制或平臺。根據g0v整理的口罩供需資訊平臺清單，統計到2月27日為止，口罩庫存相關地圖應用有49個，相關Line應用也有21個，更有19款口罩販售地點資訊服務，以及16支行動App可查詢，在Google語音助理也可以相關語音查詢工具可用。

口罩供需資訊平臺清單 https://g0v.hackmd.io/@kiang/mask-info

中國發表可查詢是否曾與武漢肺炎確診者密切接觸的雲端服務
中國民眾透過輸入身分證字號，便能查詢在最近14天內，是否曾與確診病患或疑似感染者，乘坐同一航班、火車或巴士

企業抗疫策略參考

製造業如何因應武漢肺炎？工業局提出5大面向企業防疫建議指引（內有指引下載連結）

工業局在這份《製造業因應嚴重特殊傳染性肺炎指引》中，從員工健康狀況、訪客管理、設備與設施、資材與產品、工作環境等五大面向，也提供了員工健康監控、環境、到發現感染者的通報流程參考，可供製造業，尤其是工廠快速建立自己防疫SOP。

服務業如何避免業務中斷？新加坡揭武漢肺炎分級持續營運指南（內有指南下載連結）

掌握最新疫情和防疫資訊，並統一對企業內部發布最新疫情和防護作法。儘管臺灣疫情分級的官方作法，和新加坡不全然相似，疫情嚴重程度也不同。但是，這份詳細列出各級對策的建議，可供臺灣企業挑選合適的對策來參考。

金管會對銀行祭出五大營運不中斷要求，顧立雄更強調：有疫情一定要通報！

這五大營運中斷要求，包括了國外分支的應變措施、國內防疫應變，環境消毒、人力調度和災害緊急應變措施等。

金融業紛紛啟動緊急應變預定對策，保險業更分6級因應武漢肺炎（內有詳細分級表單） 

除了人員防護和環境防治之外，金融IT抗疫作法上，以遠端連線工作機制、視訊會議形式為主。保險局在春節前夕已發函給保險業相關公會，提醒要加強對武漢肺炎疫情的警覺與認知，並公布了一份「保險公司防治法定傳染病各階段疫情因應措施」表單，將防疫動員等級分為1～6級。從第4級開始，保險業者除了資訊人員實施人員管制，要展開重大應變措施的演練，疫情進如第5、6級後，就要視情況開始實施異地備援、在家辦公、資訊中心異地備援、行政及服務中心替代支援等措施。

歐洲媒體報導，為了減少電子垃圾，歐盟繼打算立法統一充電器標準為USB-C後，將再提出可更換智慧型手機電池的規格草案。

荷蘭媒體Het Financieele Dagblad報導，遭外洩的草案是歐盟綠色交易（Green Deal）計畫的一環，旨在能矯正現行多數智慧型手機因為電池老化、故障，導致頻繁換機的弊病。

早期手機皆採用可拆卸電池的設計，方便消費者更換電池。然而隨著電池電容技術的進步，以及業者為促進消費者換新手機，十年來手機大多改成無法更換電池的設計，除非找專業維修或特殊方法換新。這造成消費者手機在用了綁約的二年後，其實狀況仍相當良好，但卻因電池蓄電量降低或故障，而被迫換新手機，成為全球電子垃圾的一大元兇。

這項草案即旨在要求手機更容易更換電池，使消費者得以延長使用期間。草案將要求手機製造商要能確保手機容易維修，並且提供手機零件備品給OEM或維修商。此外，歐盟也將禁止未售出的手機部件銷毁，以促進再利用或回收。

報導指出，目前這項草案正在進行最後修改，預計三月由主席Frans Timmermans對外公佈。

這項計畫和上個月歐盟充電器規格草案決議具有相同目的。上個月歐洲議會通過決議，要求歐盟委員會制訂統一智慧型手機、平板及電子書等可攜式裝置的充電器及充電線接頭，這標準可望是USB-C，直接挑戰蘋果的Lightning規格。

而這也是歐盟又一次在電子及資訊標準上試圖取得主導地位。歐盟上周揭露人工智慧（AI）白皮書，並計畫打造一個歐洲資料空間（European data space），督促各大科技業者與彼此及歐盟政府分享不涉及民眾隱私的資料，被外界視為對美國科技龍頭公司的抗衡。

一名25歲的烏克蘭籍前微軟軟體工程師Volodymyr Kvashuk，本周被美國地方法院判處18項重罪，原因為他在微軟工作時，趁職務之便盜走了價值1千萬美元的微軟數位資產，並在網路上銷售，最多可能面臨20年的刑期。

Kvashuk原本只是在微軟工作的派遣人員，於2016年的8月成為微軟的正式員工，並在2018年6月被微軟開除。

根據調查，Kvashuk參與了微軟線上零售平台的測試，透過各種測試存取帳號盜走了禮品卡等具有現金價值的數位資產。一開始他先用自己的存取帳號盜走了價值1.2萬美元的禮品卡，接著便使用其他同事的測試電子郵件帳號來行竊。之後他即在網路上以比特幣等方式兜售這些禮品卡，以避免遭到追蹤。

美國司法部表示，Kvashuk以不法所得添購了位於湖邊、價值160萬美元的房產，還替自己買了一輛16萬美元的特斯拉（Tesla）。

Kvashuk除了被判電信詐欺、洗錢、加重身分竊盜、電子郵件詐欺、存取裝置詐欺之外，還因謊稱帳戶裡的比特幣是親友饋贈，而觸犯了美國的報稅法令。

美國助理檢察官Siddharth Velamoor表示，這是個很簡單的案件，怎麼看都是個貪婪的罪行。美國國稅局的特工主管Ryan Korner則說，這些罪犯也許以為自己能夠藉由加密貨幣及洗錢來逃避追蹤，但終將會被逮到並得為自己的行為負責。

繼蘋果之後，微軟也在本周警告，由於受到武漢肺炎（COVID-19）疫情的影響，「更多個人運算」（More Personal Computing）類別在今年第一季，恐怕無法達到原先的預期營收。

微軟的2020財年是從2019年7月算起，因此今年第一季屬於微軟2020財年的第三季。微軟表示，該公司在今年1月29日發布今年第三財季更多個人運算的展望時，預期其營收應落在107.5億到111.5億美元之間，當時已考慮了武漢肺炎對中國的不確定影響，因此給予了更大的彈性空間。

然而，儘管微軟依舊看到符合預期的強勁Windows需求，但供應鏈恢復正常運作的腳步卻低於原先的預期，因而不再期待該類別的營收能夠達標。

被微軟歸類在更多個人電腦類別的產品，包括Windows授權、Surface/個人電腦周邊/其它智慧裝置，以及Xbox遊戲機與遊戲服務等，其中微軟認為Windows OEM與Surface受到的衝擊最大。

至於生產力與業務流程及智慧雲端等兩大類別的營收預測，則維持不變。

由於許多科技大廠的重要供應鏈都位於中國，而中國則是武漢肺炎的發源地，也是目前感染及死亡人數最多的地區，在超過8.2萬的全球確診案例中，就有7.8萬名於中國，佔感染總數的95%。蘋果調降財測的主要原因，亦為中國的供應鏈與需求受限。

微軟周三宣佈支援FIDO2協定的Azure Active Directory（Azure AD）公開預覽，讓企業也可以用FIDO2硬體金鑰登入Windows 10電腦或公、私雲網頁。

微軟Alex Simons指出，這是自去年7月宣佈AD支援FIDO2後，用戶呼聲最高的無密碼登入功能。

現在同屬混合式Azure AD（Hybrid AD）群組下的Windows 10裝置，都可利用FIDO2相容的硬體安全金鑰，來登入支援的網站或應用程式。微軟指出，藉由將FIDO2支援擴大到混合環境，用戶將可利用加密硬體金鑰登入Windows 裝置，也可以存取公司網路和雲端資源，而不怕連上釣魚網站。

在混合雲環境下要部署Windows 10裝置無密碼登入，需具備Windows Server 2016/2019、並具備在Insider Builds 18945以上的Windows 10 PC及在1.4.32.0版本以後的Azure AD Connect。最後，AD管理員要啟用以安全金鑰裝置無密碼登入的功能。

除了微軟擴大支援FID2/WebAuthn協定外（微軟本身即FIDO 2聯盟成員），本月蘋果也正式加入FIDO 2聯盟，將可望加速實現以硬體金鑰或指紋辨識登入服務的願景。

專門開發量子運算技術的加拿大業者D-Wave，在本周發表了新一代的Leap 2量子運算雲端服務，目前Leap 2仍奠基在D-Wave 2000Q量子退火電腦上，今年中將切換到更強大的Advantage量子運算系統上，新版提供了混合求解服務、IDE、問題檢查及彈性存取等功能。

D-Wave是在2018年的10月發表第一代Leap服務，在18個月之後出爐的Leap 2新增了混合求解服務（Hybrid solver service），它可自動判斷應以量子或傳統雲端資源來解決使用者所輸入的問題，而且最多可支援擁有1萬個變數的複雜問題。

另外Leap 2也預建了整合開發者環境（IDE），該環境使用了最新的Ocean SDK設定與配置，並包括新的D-Wave問題檢查工具與Python錯誤工具。新的問題檢查工具則允許進階的量子開發人員，能夠看到與量子處理單元（QPU）應對的問題地圖，顯示從QPU傳回的解決方案，以協助開發人員改善結果。

Leap 2採用更彈性的價格策略，目前提供1分鐘免費的量子運算，以及20分鐘免費的混合求解服務，另有每月可存取10分鐘QPU及200分鐘混合求解（335美元）、30分鐘QPU及600分鐘混合求解（1,000美元），以及90分鐘QPU與1,800分鐘混合求解（3,000美元）的方案。

D-Wave主要採用量子退火（Quantum annealing）演算法來解決最佳化問題，也是最低能耗的解決方案，缺點是這同時也限制了D-Wave量子運算系統可解決的問題類型。

台灣網通廠商合勤（Zyxel）20多款NAS及網路防火牆、VPN裝置，遭安全研究人員發現韌體存在驗證前指令注入（pre-authentication command injection）的高風險漏洞，可能給駭客遠端存取執行任意程式碼的機會。

編號CVE-2020-9054的漏洞，是由安全廠商Hold Security研究人員Alex Holden發現，它出現在合勤產品韌體中用於網頁驗證的Weblogin.cgi元件中，屬於「通用缺陷列表」（Common Weakness Enumeration，CWE）編號78的OS指令特殊元素的不當中和（Improper Neutralization of Special Elements used in an OS Command）。

卡內基美隆大學電腦緊急回應小組（Computer Emergent Response Team, CERT）協力中心（CERT-CC）研究人員解釋，多項合勤產品是利用weblogin.cgi來達成驗證。但這支程式卻未能適當檢驗輸入字串的username參數。因此如果這個參數包含了特定字元的話可能遭注入指令，並利用網頁伺服器權限在合勤裝置上執行。

雖然網頁伺服器並未具備根用戶權限，但許多合勤裝置上支援setuid，讓任何指令都能以根用戶或管理員權限執行。遠端攻擊者可傳送改造的HTTP POST或GET呼叫，即可在合勤設備上以根權限執行惡意程式碼。用戶只要被誘使連上惡意網站就可能被注入後門程式或劫持。該漏洞CVSS v3.0風險評分為最高的10分。

網路上已經有可開採本項漏洞的程式碼，CERT-CC並製作了概念驗證程式證明攻擊的可能性。

合勤網站列出20多款受影響的NAS、防火牆及VPN設備，同時也發佈更新版韌體以修補漏洞。

但是若合勤已不支援的產品機型，就無法安裝更新版韌體。此外，CERT-CC也提醒，由於這些韌體是經由較不安全的FTP提供，而且只以checksum而非加密簽章驗證，因此有可能讓駭客控制的DNS攔截，而導致用戶下載不安全的韌體。

對於尚未能或無法更新韌體的產品用戶，CERT-CC建議不要讓裝置直接連向網際網路，或關閉80/TCP 及443/TCP傳輸埠。

重點新聞(0221～0228)

GitHub     程式撰寫     CodeBERT  

通吃自然語言和程式語言！微軟發表CodeBERT模型讓程式碼搜尋更便利

微軟亞洲研究院日前發表一套雙模態預訓練模型CodeBERT，可處理自然語言和6種程式語言，像是Python、Go、PHP等，目的是要讓程式語言的搜尋更便利。自Google前年發表超大型自然語言預訓練模型BERT以來，改寫了AI在自然語言的表現，許多團隊也以它為基礎，發表青出於藍勝於藍的變形模型。

這次，微軟團隊以BERT和自家去年發表的RoBERTa架構為基礎，用兩種資料來訓練CodeBERT，首先是自然語言文本，再來是不同語言的程式碼，包括Go、Ruby、Python、Java、JavaScript、PHP等。訓練資料來自GitHub上的公開數據庫，包含210萬個雙模態資料點（Data points），以及來自6種程式語言的640萬個單模態程式碼。接著，團隊先微調CodeBERT，再讓它從GitHub的開源資料集CodeSearchNet中，尋找程式碼，並針對預訓練階段沒遇過的程式碼，來建立文檔（Documentation）。

後來，團隊也測試CodeBERT表現，發現CodeBERT在自然語言搜尋程式碼任務，以及產生程式碼文檔任務中，皆達到SOTA等級。（詳全文）

  DeepMind     強化學習    JAX  

瞄準強化學習，DeepMind釋出兩款JAX函式庫

DeepMind日前釋出兩款JAX函式庫Haiku和RLax，分別要簡化模型參數管理，以及提高強化學習模型表現。JAX是Google兩年前發布的數值運算函式庫，結合了NumPy函式庫、自動差分、GPU和TPU支援等，可加速機器學習作業。

其中，Haiku能簡化參數和模型狀態的管理，也可與JAX函式庫中其他函式共用。Haiku以TensorFlow函式庫Sonnet為基礎，保留了Sonnet中管理模型狀態的模組，同時也具JAX函數轉換的使用權限；此外，Haiku的API和抽象（Abstraction）也與Sonnet相似，讓使用者更容易從TensorFlow和Sonnet過渡到JAX和Haiku。團隊指出，Haiku在大規模的影像和語言處理、生成式模型和強化學習等任務，表現特別好。至於RLax，則建於JAX之上，可助於強化學習代理的執行。（詳全文）

  艾倫AI研究院    電腦視覺    模型評估  

AI2發表電腦視覺模型評比工具，網羅多種SOTA模型供評估

由微軟共同創辦人成立的艾倫人工智慧研究院AI2，日前發表了電腦視覺模型資源工具AI2 Computer Vision Explorer，網羅多種熱門、SOTA等級的影像辨識模型，供使用者來嘗試、比較和評估，找出最適合自己資料集或研究用的模型。

雖然電腦視覺在近年已有長足進步，但就算是有經驗的研究員，仍難以評估熱門的模型是否適合自己的資料，因此，AI2的感知推理與互動研究團隊（PRIOR）決定展開這項專案，蒐集多種模型，特別是在熱門電腦視覺任務中達SOTA或近乎SOTA的模型，比如影像分類、物件偵測、影像問答、人體姿勢預測等。

以影像問答（VQA）來說，使用者可選擇4種現有場景的照片，或是上傳自己的照片並輸入問題。接著，使用者可用2018年VQA挑戰賽的冠軍模型Pythia來執行任務。目前，PRIOT團隊也陸續新增其他模型，至AI2 Computer Vision Explorer中。（詳全文）

  eBay    影像辨識     商品去背 

eBay推出新AI照片編輯工具，可自動幫商品照片去背

eBay近日釋出新工具Image Clean-up，可透過AI自動幫賣家的商品照片去背。團隊指出，這項功能利用電腦視覺演算法，直接透過賣家手機的處理器來執行，讓商品背景呈白底，但有兩個先決條件，首先是影像的邊框像素需為背景，再來，前景和後景要有足夠的對比，以不同顏色凸顯兩者差異。

在技術上，團隊也建立了色彩模型，利用鑑別式機率模型中的CRF，來解決遮罩中無法理解的像素。此外，團隊也採分離性（Separability），來衡量將前後背景移除的難度，也就是說，當分離性接近最大值100％時，演算法就越容易將離。團隊利用這個方法，來決定是否要自動移除背景，或是通知使用者以手動方式，來自行移除背景。（詳全文）

  Google    虛擬客服    Dialogflow  

Google虛擬客服AI引擎Dialogflow再升級，可更聰明回答問題

Google發布自然語言理解平臺Dialogflow更新，要來改善客服中心AI（Contact Center AI）服務，提供了10倍意圖數量的Mega Agent，並新增代理驗證功能，可自動檢查代理設計錯誤，讓使用者能簡單建立多版本的代理、部署到不同環境。

其中，Mega Agent可回答的問題數量，是一般Dialogflow代理人的10倍。目前測試版的Dialogflow Mega Agent，可將多個代理人整合為一，將意圖數量擴充為2萬，可更準確回答客戶問題。此外，Dialogflow也可驗證代理設計，替使用者辨識錯誤，提高互動品質。最後，Dialogflow也新增一站式功能，涵蓋建立、測試與代理部署，也可助使用者管理版本。（詳全文）

萊斯大學   CapsNet     極端天氣預測  

萊斯大學採CapsNet，預測寒流熱浪8成精準

萊斯大學研究團隊開發一套深度學習天氣預測系統，可預測5天後的極端天氣事件，精準度達8成。傳統預測天氣方法，仰賴數值天氣預測（NWP）模型，若要預測極端天氣，更耗費大量運算資源與時間。

而研究團隊發現，影像辨識可以派上用場。當極端天氣如熱浪或寒流出現時，天氣圖通常會出現不尋常的噴射氣流，像是大量或不移動的高壓系統等。因此，團隊採用CNN和膠囊神經網路（CapsNet），以1920年至2005年的歷史天氣資料，如地表溫度、環流模式Z500等來訓練模型。結果顯示，模型能夠預測寒流或熱浪的發生和出現區域，準確率達88％。（詳全文）

甲骨文   機器學習開發自動化     資料科學平臺  

甲骨文跟進AutoML風，推出雲端資料科學平臺

甲骨文日前推出可讓企業快速建立、訓練、管理和部署機器學習模型的雲端資料科學平臺，以自家雲端基礎設施資料科學服務為核心，自動化部分的模型開發流程，要加速機器學習模型開發和應用。

首先，該平臺可自動選擇合適的機器學習模型，透過多種演算法和配置來測試、挑選。此外，平臺還有特徵工程自動化與模型評估工具，會產生一套評估指標與視覺化圖表，讓資料科學家能夠評估模型效能與調校。另一方面，平臺也提供模型解釋工功能，可自動產生對應權重和預測因素的重要性說明。此外，甲骨文也提供團隊協作功能，讓組織可以共享專案，並進行版本控制，還能共享資料與筆記本連線對話（Session）。（詳全文）

Google地圖     機器學習      文字偵測  

Google地圖靠ML自動清除千萬筆不良評論

Google地圖上約有2億個興趣點，每日會新增2千多萬條評論、評分或其他內容，為確保內容正當，Google要在不當內容上傳後，被其他用戶看到之前就先刪掉。為此，Google利用機器學習自動偵測系統，每天掃描數百萬筆的貢獻，來維護平臺內容的品質，甚至還能在評論發布到Google地圖之前，先逐一檢查，找出虛假訊息特徵，比如特定的單字和短語、比對使用者帳戶過去貢獻內容的類型，並偵測可疑的評論模式。

此外，Google也聘請操作員和分析師團隊，來審核Google地圖上的評論、照片、商業檔案和其他類型內容，同時Google也讓所有使用者標記評論，作為刪除不當內容和誤導性地點的依據。光是去年，該系統就自動刪除了7,500萬筆違反規定的評論。（詳全文）

圖片來源／艾倫AI研究院、eBay、萊斯大學、微軟亞洲研究院

 AI趨勢近期新聞 

1. Google Cloud AI自動移除性別標籤，來降低偏見

2. MIT用深度學習找出強效抗生素，成果收錄權威期刊《Cell》

3. MIT開發能修改維基百科文章錯誤的自動系統

4. 麗臺整合Nvidia GPU與深度學習軟體套件，推出新款AI工作站

資料來源：iThome整理，2020年2月

GitHub發布了2019年的透明度報告，這是從2014年來的第6次，向外報告GitHub使用者訊息揭露與內容刪除的狀況。透明度報告總共包含3部分，GitHub被要求揭露的用戶訊息、政府要求刪除的內容，以及違反美國數位千禧年著作權法（DMCA）需刪除的內容，GitHub提到，由於GitHub中大多數的內容都是程式碼，在某些情況下，程式碼可能受到版權保護，以整體來看，DMCA通知移除內容的比例很少。

在2019年，GitHub處理了218次用戶訊息揭露案例，包括109張傳票、92個法院命令和30個搜查令，這個數量超過2018年的3倍，官方提到，法院命令和搜查令數量，在2019年不成比例的大幅增加，約是前一年的4倍。絕大多數的請求來自執法單位，只有4.1％是民事訴訟（下圖）。不過，GitHub並非收到資料請求就揭露用戶訊息，像是請求不夠具體，或是要求的資料範圍過於廣泛，GitHub則會限制提供的訊息。

這218個請求GitHub只執行了165個，影響的帳戶數量為385個，官方提到，一旦他們處理所有的要求，則影響的帳戶數量會高達1,250個。在這些請求中，有4個的相關帳戶數量多達100到105個，而這些影響大範圍帳戶的請求，通常是法院需要得到部分內容的存取資料，而非針對特定用戶。

除非法律或是法院命令要求，GitHub會在揭露用戶訊息時通知用戶，在大部分的訊息請求案例，都帶有禁制令阻止GitHub通知用戶。2019年GitHub執行的165個請求，其中159次中帶有禁制令，官方提到，跟過去幾年相比，有禁制令的請求，在整體比例大幅上升（下圖），但這與處理的犯罪請求數量有關。

外國政府也會透過司法互助的方式，跨境向GitHub請求資料，但這需要經過美國司法部同意，並發出傳票、法院命令或是搜查令，GitHub才會作出回應。2019年GitHub收到7個跨境請求，分別來自德國和印度，比例較2018年增加。

在移除內容的部分，分為政府要求與DMCA通知兩類，2019年GitHub處理了16個請求，分別來自俄羅斯、中國和西班牙，官方採取影響最小的作法，僅在特定地區遮蔽違反當地法律的內容，並且會在政府移除儲存庫中創建公共記錄，讓用戶知道政府要求GitHub移除的項目。2019年的內容移除請求，GitHub在相對應的地區共封鎖54個專案，官方提到，雖然整體數量看起來少，不過卻是2018年的6倍。

而GitHub收到的內容移除請求絕大部分來自於DMCA通知，2019年GitHub收到並處理了1,762份請求，在絕大多數的月份，每月都有120到185份移除通知。不過這些被移除的內容也有機會恢復，像是用戶補充足夠的資訊，證明指控錯誤，或是提起訴訟的人改變主意撤回訴訟。

這些被要求移除的內容包括儲存庫、Gist、GitHub頁面網站，2019年GitHub總共移除了14,366個專案但又恢復了46個專案，因此有14,320個專案處於下架狀態，官方提到，雖然數量上看起來很多，但是僅占GitHub儲存庫的0.01％。2019年收到的DMCA通知數量有增加，但與用戶數量增加相關。

資安研究人員Kevin Beaumont在周三（2/26）警告，他發現有人在網路上大量掃描微軟於本月修補的CVE-2020-0688安全漏洞，該漏洞攸關Microsoft Exchange伺服器，呼籲Exchange用戶應儘速修補。

CVE-2020-0688漏洞肇因於Exchange伺服器在安裝時沒能妥善建立唯一金鑰，將允許具備該知識及信箱的授權用戶以系統權限傳遞任意物件，屬於遠端程式攻擊漏洞，該漏洞影響Microsoft Exchange Server 2010 SP3、Microsoft Exchange Server 2013、Microsoft Exchange Server 2016與Microsoft Exchange Server 2019，但只被微軟列為重要（Important）等級的風險。

儘管目前資安研究人員只發現鎖定該漏洞的掃描行為，並未看到實際的開採行動，但日前Zero Day Initiative（ZDI）不只揭露了CVE-2020-0688漏洞的細節，還公布開採程序。

ZDI解釋，根據微軟的說法，駭客可傳遞一個特製的電子郵件到含有漏洞的Exchange伺服器上，就能造成記憶體毀損並展開攻擊；但具體而言，此一漏洞藏匿在Exchange的控制板（ECP）元件上，它的本質非常簡單，因為它不是在安裝時隨機產生金鑰，而是所有的Exchange Server都在web.config中，存有同樣的驗證金鑰與解密金鑰值。使用靜態金鑰的結果，即是讓駭客能夠在伺服器上執行任意的.NET程式碼。

Beaumont指出，雖然微軟只將該漏洞列為重要等級，但假使企業或組織的Exchange伺服器直接連上了網路，那麼這便是個重大（Critical）漏洞了，預期在未來幾個月，就會看到勒索軟體集團針對該漏洞展開攻擊。

Google在Gmail中部署了新的文件掃描器，運用深度學習技術，以改善惡意文件的偵測率。Google宣稱，透過機器學習技術以及其他保護措施，Gmail能阻擋超過99.9％的安全威脅進到收件箱中。

Google表示，Gmail的主要保護手段是惡意軟體掃描程式，每周處理超過3千億個附件，而且惡意檔案每天都在變化，他們每天攔截到的63％惡意檔案，都與前一天不一樣，因此他們引入新的文件掃描程式，以提高偵測惡意文件的能力。

新掃描程式用於檢測對抗與突發攻擊特別有用，能提高150％的偵測率，Google解釋，新掃描程式包含了應用機器學習部署工作管線端到端平臺TensorFlow Extended（TFX），所訓練出來的TensorFlow深度學習模型，以及為每一種檔案類型客製的文件分析器。文件分析器的功能是負責解析文件，和辨識一般的攻擊模式，並且進行特徵擷取等工作。

而強化文件偵測是Google目前的重點工作之一，因為惡意文件占瞄準Gmail用戶惡意軟體的58％，不過，目前這項新技術仍僅用在掃描Office文件。新的掃描程式與原有的偵測功能會平行運作，為決策引擎提供判斷惡意文件的資訊，Google提到，組合不同的掃描程式是他們縱深防禦的方法，可確保偵測系統足以抵抗對抗攻擊。

Google發布了Open Images V6，這擴充了Open Images資料集註解，加入像是狗接飛盤這樣的視覺關係，以及女人跳躍等人類動作註解，還新增了大量的影像等級（Image-Level）的註解，影像等級註解為整張圖像提供整體的註解。特別的是，這個補充資料集還多了局部化敘事（Localized Narrative）註解，這是一種全新的多模式註解方式，可以在物件描述上同步語音、文字和滑鼠軌跡。

Google提到，局部化敘事的目的之一，便是研究以及利用視覺和語言之間的關聯，配對圖像以及人類撰寫的描述，也就是為圖像加上圖說。而圖像加圖說的限制，則是缺乏視覺基礎，也就是無法將圖像內容對應到文字描述中，（下圖中）過去的方式是將文字描述中的名詞，在圖像中以各種顏色繪製出最小邊界框（Bounding Box）。

而在Google的局部化敘事中（上圖右），每個在文字描述中的單詞都是基礎，局部化敘事由註解者產生，註解者提供圖像的語音描述，並同時將游標移到描述的圖像區域上，Google表示，語音註解是方法的核心，因為可以將描述和參照的圖像區域關聯起來。而為了使描述更容易存取，註解者會手動轉錄他們的描述，並與自動轉錄的結果進行比對，以恢復描述的時間戳記，確保語音、文字和游標軌跡正確且同步。

由於同步語音和游標指示很直觀，所以Google並沒有給註解者很明確的任務說明，因此註解者可能會以螺旋或是畫下底線的方式在圖上註記，而這可能為Google未來的用戶介面設計研究，帶來新的想法。新加入的局部化敘事註解資料集非常豐富，滑鼠軌跡總長有6,400公里，不停播放所有的描述語音，則需要花費1.5年的時間。

在Open Images V6中，Google還增加視覺關係類型註解，新增像是男人踩著滑板、男人女人牽著手，以及狗接住飛盤等範例（下圖）。Google提到，在電腦視覺中，圖像中的人是電腦視覺感興趣的重點，而對於許多應用程式來說，了解圖像中人們的行為則至關重要。Open Images V6還包含了跳躍、微笑和躺下等獨立動作。另外，Google也增加了2,350萬個經人工驗證的圖像等級標籤，因此現在於2萬類別中，已經有接近6,000萬個標籤。

專門代管各種抓漏獎勵專案的HackerOne在本周公布了《年度駭客報告》（The 2020 Hacker Report），指出該站在2019年發出了近4千萬美元的抓漏獎金，相當於歷年來的總和，而且在該報告的受訪者中，有18%宣稱自己是全職駭客，意味著駭客已日益發展成一個有機會養活自己的正當職業了。

目前已有超過60萬名駭客在HackerOne平台上註冊，平均每天有850名新駭客加入，但只有約3,150名駭客參與了此一調查。調查顯示，59%的駭客把抓漏當成興趣，只在閒瑕時尋找安全漏洞，有27%為學生，有18%為全職駭客。

在駭客的年齡層上，有42%的駭客為18到24歲，41%是25到34歲，還有14%的駭客為35到49歲，亦有4%的駭客不到17歲。高達42%的駭客喜歡獨自工作，但有50%會去閱讀其他駭客的部落格或公開揭露報告，以加強自己的技能。

迄今HackerOne平台已產生了7位透過該平台賺到100萬美元的駭客，也有13位所賺取的獎金超過50萬美元。

不過，HackerOne並未調查或公布這群駭客參與抓漏獎勵專案的平均收入，僅說去年領走該平台獎金的駭客中，有19%來自美國，10%來自印度，8%為俄羅斯人，7%為中國人，而德國與加拿大也各自占了5%及4%。

全球駭客社群（Global Hacker Community）資深總監Luke Tucker表示，沒有一個產業或一種專業曾經歷過像駭客這般的進展，這些駭客原本存在於網路的最底層，他們在網路上隨處漫遊以尋找漏洞，但後來卻成為受人尊敬的興趣，現在他們擁有了專業的稱號，不管是駭客、滲透測試者或安全研究員，而且受到信任與尊敬。

HackerOne執行長Mårten Mickos也說，不多久以前，企業還會拒絕抓漏獎勵專案，因為它們不想要邀請陌生人駭進自己的系統，但現在不管是政府或企業，都開始實施漏洞揭露專案，也都把駭客的能力視為安全專案的重要還節，使得抓漏獎勵專案已成為網路安全衛生的基本要件。

微軟本周宣布，已經開始透過Windows 10的Release Preview Ring，自動將系統內的HTML版Edge，升級到Chromium版Edge。

眼尖的媒體則揣測，微軟應該是透過KB4541302將新版的Edge，遞送到Windows 10 1903與Windows 10 1909的測試用戶手上。

根據KB4541302的說明，在安裝了該更新之後，不論是在開始功能表、桌面或是工具列上出現的EdgeHTML版Edge，都會被自動置換成Chromium版Edge，系統也會將舊版Edge所儲存的密碼、我的最愛或分頁等資料，都移轉到新版Edge。而且在此一更新中，並不允許使用者反安裝新版Edge。

微軟在今年1月就釋出了首個基於Chromium的Microsoft Edge 79，但當時使用者必須手動下載及安裝，現在則是隨著Windows 10的更新而自動升級到Microsoft Edge 79，此一Windows 10更新仍限Windows Insider預覽版用戶，只是離正式版也不遠了。

Amazon推出用於裝置的Amazon通用軟體 （Amazon Common Software，ACS）預覽版，這是可在裝置上整合Amazon裝置SDK的最佳化軟體，Amazon提到，他們已經在第三代Echo Dot和Amazon Smart Oven等裝置使用ACS。

ACS為通用的元件，像是連接、網路、裝置管理和多媒體功能，提供統一的API整合層，以及經預驗證和記憶體最佳化元件。除了API以及元件，ACS還包含裝置移植工具包，提供作業系統與底層硬體的抽象，增加程式的可移植性，還有ACS多層測試套裝，則讓開發者更容易找出裝置軟體的臭蟲。

在這個目前釋出的ACS預覽版，支援簡單設定功能FFS（Frustration-Free Setup）以及AWS IoT裝置SDK，在今年稍晚也會支援Alexa語音服務裝置SDK。官方提到，要在每個SDK中整合各裝置SDK，開發者需要為Wi-Fi管理、HTTP操作和加密等通用功能，實作API整合層或是相容層，當SDK要執行Wi-Fi網路掃描這些功能時，便會呼叫開發者的功能實作。

ACS則是簡化這些SDK整合工作，為Amazon裝置SDK提供一個統一的API整合層，因此當開發者實作了ACS API，則往後便能在任何支援ACS的SDK上，重複使用這些程式碼，可大幅節省開發者的時間資源。

官方表示，開發者使用ACS，將可以加速裝置整合Amazon裝置SDK的程序，更快地發布裝置軟體。只要符合Amazon標準的參照平臺，便能使用ACS，諸如ESP32和Raspberry Pi 4都沒問題，或開發者也可以選擇將ACS整合到自有的硬體平臺上。ACS還支援FreeRTOS和嵌入式Linux作業系統。