在去年GitHub發表自家套件服務GitHub Package時，Npm創辦人Isaac Z. Schlueter對GitHub產品副總Shanku Niyogi說：「你們為什麼不考慮買下我們？」，而就在3月16日GitHub正式對外宣布收購Npm。Npm（Node Package Manager）為Node.js套件的管理工具，開發者只要安裝了Npm，就能夠以簡單指令安裝和維護Node.js套件。

Isaac Z. Schlueter在2009年的時候開發出了Npm，原本只是想讓一小群以JavaScript開發網頁伺服器的開發者共享套件，但是隨著時間逐漸茁壯，現在Npm上有130萬個套件，使用者人數約為1,200人，每個月套件下載次數達到750億次。Npm是JavaScript生態系極重要的成員，也是幫助JavaScript成為全球最大開發生態系的功臣之一。

在併購之後，Isaac Z. Schlueter會繼續在Npm工作，並且承諾公開註冊表將繼續提供公開且免費的服務。GitHub設定這項交易完成後，首要進行的三個重點，分別是投資註冊表基礎設施和平臺、改善核心體驗並且投入社群。GitHub表示，JavaScript生態系規模龐大且成長快速，Npm作為JavaScript重要的成員，需要能夠提供快速且可靠的服務。

他們也會著手改善開發人員的日常開發工作體驗，繼續發展Npm CLI工具，預定會在接下來提供Workspaces、多因素驗證和改進套件發布等功能。另外，GitHub也會積極的與JavaScript社群互動，根據回饋來調整Npm的發展方向。

把GitHub和Npm整合在一起，能夠提高開源供應鏈的安全性，讓開發者可從GitHub的拉取請求，追蹤到其Npm套件版本變更，GitHub提到，開源程式的安全性是一個重要的問題，他們能利用GitHub Security Lab和安全性審查，來提升Npm套件的安全性。

對於原本使用Npm Pro、Team和Enterprise計畫的付費使用者，不受併購影響，GitHub會繼續如常提供服務。而對於GitHub自家的套件服務GitHub Packages，他們也進行了大量的投資，作為與GitHub完全整合的多語言套件註冊表中心，在今年稍晚，GitHub會將Npm付費客戶的私有套件移動到GitHub Packages中，讓Npm成為一個真正的JavaScript大型公共註冊表服務。

彭博社率先於本周報導，美國衛生及公共服務部（HHS，衛服部）在周日（3/15）晚間遭到駭客攻擊。衛服部已對外證實此事，資安專家則認為相關的攻擊應屬分散式服務阻斷（Distributed Denial of Service，DDoS）攻擊，而非駭客入侵行動。

彭博社引用消息來源的描述，指出駭客在幾小時內持續傳遞數百萬的請求，企圖讓衛服部的伺服器超載，但駭客並未滲透衛服部網路，也沒有成功影響衛服部網路的運作，猜測是外國駭客所為，目的是為了破壞衛服部對武漢肺炎疫情的回應能力。

這使得資安專家判斷這只是一起DDoS攻擊，代表衛服部的系統並未被攻陷。

全球許多大型企業或組織經常需要面臨或處理DDoS攻擊，衛服部向Recode表示，就在衛服部準備開始面對武漢肺炎疫情時，已加強了IT架構的安全部署。另有媒體報導，相關攻擊並未影響衛服部的正常運作，甚至連達到危險邊緣都沒有。

只是在此一時刻，任何針對防治武漢肺炎疫情相關單位的攻擊，都會惹來大量的關注。

彭博社的消息來源還說，相信針對衛服部的攻擊與日前的謠言有關，此一謠言宣稱美國總統川普（Donald Trump）即將宣布鎖國，只是很快就被國安會否認。abc News則分析，駭客也許只是想造成民眾恐慌，利用武漢肺炎疫情蔓延之際，實現反美的目的。

儘管目前員工均無人確診，但因應未來疫情更大衝擊，台哥大最近也決定改採用分區辦公的方式來防疫，甚至目前有超過1千名員工都配合分散地點辦公，就連部分IT人員也包含在內。該公司最近也透露自家異地辦公的一些作法。

早在今年2月初一場防疫緊急會議上，台哥大高層當時就已定調當疫情升級時，不排除採異地備援等措施來進行人員分區辦公，更在同一時間設立防疫應變指揮中心，持續監控疫情的變化，來調整IT防疫策略。

隨著疫情在國外迅速蔓延，臺灣疫情雖然可控，但台哥大還是決定在2月提前啟動異地上班機制，並由台哥大資訊部門，一手負責這些分區辦公地點所需IT基礎設施環境的建立。

決定分區辦公後，一開始，台哥大先展開部門盤點，決定哪些人員需要分區辦公，例如核心業務的營運人員等，並進行分組，再由資訊部門針對分區上班需求進行相關的異地辦公IT資源規劃和整備。

早從2月底，台哥大資訊團隊就展開了異地備援搬遷作業，他們花了約一周，完成約9成資訊系統設備的搬遷，將備援機房系統搬遷到指定分區辦公地點，來做為分區辦公資訊服務的使用。在資訊人員進行IT部署同時，也須由員工親自將電腦等辦公設備，帶到指定辦公地點，以盡可能減少外部人員進出、增加感染風險。

由於台灣大主機房和備援機房皆在北部，但對於公司內部員工一些常用的資訊服務，包含存放資料的檔案伺服器， 或收發信件的郵件伺服器等，皆放置在各主要辦公大樓內，這也讓資訊團隊在這次搬遷作業相較順利許多，簡化不少執行環境設定的作業時間，能夠在3月初如期完成搬遷，進行分組分區上班。截至10日為止，已有超過半數，多達1千名員工，配合分散地點辦公。

在溝通平臺方面，該公司原本就有一套企業通訊軟體M+ messenger，員工也能使用它來與分區辦公所在地的人員進行溝通聯繫，在防疫期間也被用來當作主要疫情監控與通報機制。

除了員工預先採分區上班，就連機房人員都採取同樣的方式分組異地作業，並搭配遠端監控機制，可用來負責監控各種服務狀況，而且為了避免分散辦公造成兩邊機房資料不同步的情況，該資訊團隊也有一套異地資料同步的作法，尤其是針對主要營運等關鍵系統，皆使用異地備援軟硬體架構，搭配資料庫複寫機制，確保同一套資訊系統同時可以在兩地運作，提供相同的服務，並且兩邊資料保持一致。

面對員工需在家辦公的緊急情況，台灣大也有一些相應的作法，讓員工在家也可以透過VPN遠端登入到公司內部系統來處理公務，甚至為了預防疫情可能惡化，該資訊團隊最近也進行連線設備頻寬的擴充，並增加連線授權數，確認所有員工都能遠端連線作業，來因應疫情升高可能的大量在家辦公需求。

除此之外，台哥大資訊團隊目前也有建立相關遠距IT維運的機制， 必要時，也可立即啟用，來因應IT人員居家上班的情況。一旦遇到輪班人員不足時，也會調派其他單位人力支援，以確保機房能夠穩定運作，來達到企業營運不中斷。

悠遊卡公司和三星合作推出Samsung Pay悠遊卡，3月17日開始，三星手機用戶將可在Samsung Pay中下載虛擬悠遊卡，在全國近17萬個據點，以手機取代悠遊卡感應支付。

這項合作支援的手機，涵蓋三星Galaxy S20 Ultra、S20+、S20、S10+、S10、S10e、S9、S9+、Note 10+、Note 10、Note 9、A71、A70、A8s、A51共15款手機，以及即將在4月底陸續推出的Galaxy Z Flip、Note 10 Lite、A80、A60。三星表示，每支手機依Samsung Pay應用程式釋出更新時間而定，陸續將會支援Samsung Pay悠遊卡。

用戶只要下載了Samsung Pay悠遊卡，就能將手機當成實體悠遊卡，在超商、超市、捷運、公車、火車、商圈、餐飲店，或是停車場、加油站、YouBike使用。只要手機內有剩餘電量，就能使用Samsung Pay悠遊卡，當用戶在商家結帳時，不需要解鎖手機螢幕就能感應付款。

目前用戶可使用現金加值，或是綁定國泰世華、玉山銀行、台新銀行、中國信託、台北富邦、聯邦銀行共6家銀行的信用卡，為Samsung Pay內的悠遊卡自動加值，每次加值500元。

悠遊卡公司董事長陳亭如表示，Samsung Pay悠遊卡是兩家公司合作的結晶，可在全國近17萬個悠遊卡的消費據點感應支付，是國內電子票證首次登上國際行動支付服務。待3月底悠遊卡公司的電子支付服務（悠遊付）正式推出，Samsung Pay悠遊卡將可以悠遊付帳戶自動加值。

除了支援一般的普通卡，Samsung Pay悠遊卡也能支援學生卡，享有和實體的學生卡相同的優惠，學生卡到期前30天，也可以在手機上申請展延，不過，若學生手機已有實體的悠遊學生卡，就不能使用Samsung Pay的學生悠遊卡；另外，Samsung Pay悠遊卡也支援了1280交通運輸定期票，可直接在Samsung Pay購買1280定期票，到期前10天可以再續購。

需注意的是，Samsung Pay下載的是全新的虛擬悠遊卡（可記名，下載免費），用戶手邊如果有正在使用的實體悠遊卡，是不能整合到Samsung Pay的，即Samsung Pay悠遊卡、實體悠遊卡是相互獨立。用戶若手機不慎遺失，可利用Find My Mobile（尋找我的手機），遠距移除或封鎖Samsung Pay的支付功能，若為記名的Samsung Pay悠遊卡，也可向悠遊卡公司掛失。

另外，一些企業可在悠遊卡上整合公司門禁卡功能，也不能用在Samsung Pay悠遊卡上，Samsung Pay悠遊卡定位為單純的消費支付工具。

去年悠遊卡在國內消費金額超過650億元，台灣三星和悠遊卡公司合作推出Samsung Pay悠遊卡，讓悠遊卡的下載、加值、扣款都能在手機上完成，期望藉此提高Samsung Pay的使用率至7成。

相較於悠遊卡公司和三星合作，競爭對手一卡通在2018年已和Line聯手推出Line Pay一卡通，去年底更為跨足國際行動支付，改名為Line Pay Money。

0312-0318 一定要看的資安新聞

＃漏洞攻擊  ＃SMB

微軟緊急修補SMB蠕蟲漏洞

在3月10日的本月例行修補中，微軟一共修正了115個漏洞，但唯獨CVE-2020-0796，微軟只發出資安通報而引發各界關注，兩天後該公司終於提供修補軟體。這個漏洞存在於SMB第3版（3.1.1版）的協定，能允許駭客自遠端執行任意程式，被多家資安業者視為此次最重大的漏洞之一。

這個漏洞影響的範圍，包含SMB伺服器與用戶端，存在於Windows 10 1903與1909版作業系統，以及Windows Server 1903與1909版。任何未修補且開放SMB埠的電腦，都有可能面臨類似WannaCry的蠕蟲式攻擊。詳全文

圖片來源：微軟

＃漏洞攻擊  #遠端桌面連線  ＃資料外洩

遠端桌面連線工具爆資訊外洩漏洞，微軟直接宣布除役

廠商已經鮮少維護的舊版解決方案，若出現漏洞，有些公司的作法是乾脆直接停止提供下載。例如，微軟於2009年開始，推出的遠端桌面連線工具Remote Desktop Connection Manager（RDCMan），傳出XML外部實體注入（XXE）漏洞，導致資料外洩。

該公司建議用戶改用Windows內建的連線工具（MSTSC），或者是UWP版的應用程式（Microsoft遠端桌面）。詳全文

＃漏洞攻擊  ＃防毒軟體

Avast出現設計漏洞，可能讓駭客遠端執行惡意程式

防毒軟體因為深入系統底層，一旦出現漏洞，就容易讓駭客在電腦執行惡意程式。Google Project Zero研究人員Tarvis Ormandy發現，捷克防毒軟體Avast出現漏洞，該業者獲報後暫時關閉有問題的元件。

這項漏洞出現在AvastSvc服務。由於這項模組的JavaScript解譯器防禦措施不足，導致AvastSvc有關漏洞都相當嚴重，可被攻擊者輕易濫用。詳全文

圖片來源：Avast

＃漏洞攻擊  ＃硬體漏洞  ＃旁路攻擊

AMD處理器存在旁路攻擊漏洞，資安研究人員通報後仍未修補韌體

處理器的加速機制又被發現了漏洞。奧地利格拉茨科技大學研究人員發表的論文指出，AMD為了最佳化處理器的效能，在L1D快取採用了的預測器，然而，最近有研究人員發現可以加以操縱，來洩漏AMD處理器的機密資料。

這個漏洞稱為Take A Way，影響AMD旗下多款產品，包含從2011年到2019年推出的所有處理器。AMD在3月7日做出回應，宣稱這並非新的攻擊手法，僅建議使用者採用現有的推測執行漏洞緩解措施，但研究人員隔日於推特上表示，由於漏洞沒有修正，駭客可依據論文內容來攻擊採用AMD處理器的電腦。詳全文

圖片來源：奧地利格拉茨科技大學

＃資料外洩  ＃硬體漏洞  ＃旁路攻擊

英特爾處理器再度出現旁路攻擊漏洞，恐難透過軟體修補根除

面對處理器裡的漏洞，若以軟體來緩解，效果往往有限。例如，在3月10日，多所大學的研究人員、資安業者Bitdefender，以及英特爾，共同揭露存在於英特爾處理器中新的旁路攻擊漏洞LVI，列管編號為CVE-2020-0551。

有別於以往的Spectre與Meltdown攻擊，是直接洩露處理器的機密資訊予駭客，LVI則是藉由隱藏的處理器緩衝區，將駭客資料注入受害者的程序中，挾持其暫態執行以獲取機密資訊，諸如受害者的指紋或密碼等。

這項漏洞是鎖定英特爾處理器的安全隔離機制，名為Software Guard Extensions（SGX），該公司也列出數十款受影響的處理器，並提供修補軟體。不過，研究人員認為，只有日後新處理器才能真正解決這個漏洞，要是完全透過軟體修補來緩解，將會使得SGX運算能力變慢2至19倍。詳全文

＃漏洞攻擊  ＃硬體漏洞  ＃Rowhammer

DDR4記憶體難以防範Rowhammer變種攻擊

即使採取因應措施，可能也難以防範攻擊手法的演進。像是自2012年就被發現的Rowhammer記憶體攻擊手法，各家製造商相繼在DDR4產品納入Target Row Refresh（TRR）措施，來加以防堵，但光靠它恐怕無力阻擋後續被揭露的弱點。例如，阿姆斯特丹自由大學漏洞安全實驗室VUSec發現新的Rowhammer漏洞CVE-2020-10255，能用於攻擊市面上大多數DDR4記憶體。

該單位表示，目前的TRR機制只能防範已知攻擊。他們將概念性驗證工具TRRespass用來攻擊42款記憶體模組，成功攻陷了13個。詳全文

＃特定目標攻擊  ＃醫療單位  ＃武漢肺炎

捷克武漢肺炎篩檢中心遭駭客攻擊

武漢肺炎肆虐全球各國，若再面臨網路攻擊，將造成醫療機構難以運作。例如，位於捷克第二大城布爾諾（Brno）的布爾諾大學醫院，傳出遭到網路攻擊，由於該單位同時是武漢肺炎篩檢中心，這起事件也嚴重影響當地防疫工作。

布爾諾大學醫院僅對外表示，電腦系統在3月13日遭到攻擊而陸續當機，最後他們只得將電腦系統關閉。目前該院正篩檢數十個疑似罹患武漢肺炎的案例，因為院方遭受攻擊，作業時間可能會從一天拉長到數天。詳全文

＃隱私疑慮  ＃應用程式市集亂象

假借保護上網隱私名義，資料分析業者利用App暗中收集用戶個資

使用者安裝App要小心，過程若是需要安裝額外元件，很可能是廠商藉機收集個資的管道。行動裝置應用程式資料分析業者Sensor Tower被人踢爆，他們透過旗下數款VPN、廣告過濾程式，來暗中蒐集用戶資訊，高達千萬人受害，部分App已遭兩大應用程式市集下架。

研究人員發現，該公司出品的App，其共通特點是會在安裝過程中，要求使用者一併部署根憑證，之後便會在未告知的情況下，將用戶資料傳送到Sensor Tower。事件曝光後，該公司宣稱，植入根憑證只是用於收集匿名資訊，然而這種行為已經違反了上述兩大平臺的管理政策，使得蘋果和Google對於部分App，採取下架或是啟動調查措施。詳全文

＃垃圾郵件攻擊  ＃殭屍網路

歷時8年，惡意郵件殭屍網路Necurs巢穴遭剿清

大型的網路犯罪組織由於人員分散各地，往往需要許多國家的通力合作，才能一網打盡。像是微軟於3月10日宣布，他們協同35國警方與ISP等單位，耗時8年的追蹤與策畫，終於破獲全球大型的惡意郵件網路Necurs。這個郵件網路也曾在臺灣造成嚴重災情。

在取得紐約地方法院發布命令下，微軟查獲Necurs用以散布垃圾郵件及惡意程式的基礎架構，使其背後的犯罪組織，無法再註冊新網域發動攻擊。他們也在多國ISP協助下，協助清除惡意程式。詳全文

更多資安動態

●Firefox 74終止側載擴充套件支援，並停用舊版TLS
●FBI逮捕經營非法憑證銷售網站的俄羅斯人
●因Windows 7終止支援，醫療單位執行老舊作業系統比例爆增
●冒牌武漢疫情儀表板散播惡意程式
●為保障媒體與資安研究人員，美國擬翻修間諜法

全球武漢肺炎（COVID-19）疫情日益嚴重，進而影響了民眾使用上網的模式，改變了網際網路流量分布，Cloudflare觀察了華盛頓州西雅圖、北義大利和南韓的網路流量，發現3月與1月同期相比，整體網路流量皆上升，影片串流流量大增，西雅圖3月的半夜網路流量明顯多於1月，而且隨著越來越多企業要求員工在家工作，住家寬頻流量也明顯上升。

在1月武漢肺炎疫情還未爆發之前，西雅圖的網路流量呈現典型的模式，周末的網路流量會比平常工作日還要低，而每日的網路流量變化，皆是深夜使用量下降，早上的用量逐漸上升，高峰發生在晚上9點左右，最低谷則是在凌晨3點。過去全球各國幾乎都表現出相同的模式，區別只在高峰出現的時機，是人們早上工作時抑或是晚上回到家後出現。

情況變化1月31日開始有所不同，當天西雅圖被爆出第一例武漢肺炎確診案例，2月在華盛頓州出現第一例因武漢肺炎死亡案例，臉書、微軟和Amazon在西雅圖的員工，陸續被檢驗出感染武漢肺炎，企業開始要求員工在家工作。經過這些事件後，西雅圖地區網際網路流量大幅提升，假日與平日網路流量不再有差異，而且夜間原本的流量谷底不再那麼明顯，人們使用網際網路的頻率上升。

將3月5日至3月12日和1月同期相比，網際網路流量暴增40％，夜間流量谷底甚至超過1月白天使用量，而由於企業開始要求員工在家工作，因此住宅ISP月網路流量（下圖）增加5％，但Cloudflare評估在家工作的民眾數量，認為增加的流量比例應該更高，Cloudflare推測，應該是因為企業員工使用VPN，將所有流量導回企業閘道器的關係。

在疫情嚴重的北義大利，1月的網路流量同樣呈現典型的模式，但Cloudflare觀察北義大利3月5日至3月12日的網路流量變化，無論白天還是晚上，民眾上網的時間增加，整體網路流量上升超過30％。線上聊天系統的使用量是過去的1.3到3倍，影片串流流量幾乎暴增1倍，新聞網站流量增加約30％至60％，線上遊戲網路流量則上升20％。

跟西方國家比起來，位於亞洲的南韓，網路流量模式沒有太大改變，整體流量上升5％，動畫串流流量上升超過1倍，線上聊天流量則為過去的1.2到1.8倍，而線上遊戲的流量則成長30％。北義大利和韓國的體適能追蹤器流量則下降，反映出人們減少參加日常運動、體育和健身活動。

Google、臉書、微軟、Linkedin、reddit、Twitter與YouTube等網路平台，在本周發表了聯合聲明，承諾它們將與全球的政府醫療機構合作，遞送與武漢肺炎（COVID-19）相關的正確資訊，並掃盪不實資訊，共同捍衛全球社群的健康與安全。

聲明的內容簡單扼要，表示將在有關武漢肺炎（COVID-19）的應對上彼此合作，包括協助數百萬的人們彼此聯繫，也會共同對抗COVID-19病毒的詐騙與不實資訊，在各自的平台上突顯官方的內容，也會與全球政府的醫療機構合作發布重大的資訊更新，亦邀請其它的企業參與，以共同捍衛人們的健康與安全。

其實早在發表此一聲明之前，各大科技業者都已針對武漢肺炎疫情採取了行動，例如臉書與Twitter都已禁止了可能造成傷害的不實內容，Google也宣布要移除搜尋結果與YouTube的不實內容，Google更於本周宣布要設立一個有關疫情的資訊網站，而微軟則推出了武漢肺炎疫情追蹤地圖網站。

業者的共同聲明替各內容平台帶來了一個因應疫情的準則，避免不實資訊的傳遞，或造成民眾的恐慌。

AWS在雲端資料倉儲服務Amazon Redshift中，推出具體化檢視表（Materialized View ）功能，透過預運算、儲存和最佳化資料存取，可大幅提升資料庫查詢的執行速度。

在關聯式資料庫管理系統中，檢視圖（View）是一種資料庫查詢的虛擬表格，通常在設計結構（Schema）時會用到，可呈現資料的子集、匯總資料，或是跨多個表格存取資料，在使用資料倉儲時，檢視圖也可用來簡化從多表存取工具聚合資料的過程。雖然檢視圖提供了易用性和靈活性，但是卻無法加快資料存取的速度，因為當每次應用程式需要存取檢視圖時，資料庫系統必須要重新執行底層資料查詢。

因此在效能重要的應用中，資料工程師通常會使用CTAS（Create Table as Select）指令，創建一個資料表以保存查詢的資料，應用程式可以像一般表格一樣，使用CTAS創建的表格，但缺點是當基礎資料更新時，CTAS表格中的資料不會跟著更新，由於CTAS定義並不儲存在資料庫中，因此資料庫無從追蹤用來創建CTAS表格的資料，因此也就無法更新CTAS表格。

為此，AWS在Amazon Redshift加入了具體化檢視表功能，具體化檢視表就像是一般檢視表的快取，但不在查詢執行時才建立資料集，具體化檢視表需要須事先創建，進行預運算、儲存和最佳化資料存取，把資料先準備好，讓應用程式存取具體化檢視表的方式，就像是一般的表格一樣。

由於具體化檢視表需要事先創建，且資料已經在資料庫系統中準備好，因此具體化檢視表可大幅提升查詢的執行速度，AWS提到，具體化檢視表對於那些可預測，或是需要一遍又一遍重複執行的查詢特別好用，應用程式可以查詢預先計算好的資料，而非重新對基礎大型表格進行查詢。

當基礎資料表格有更新時，使用者可以利用指令更新具體化檢視表格，更新指令支援增量更新或是全部重新計算的完整更新。現在用戶已經可以在所有AWS地區使用具體化檢視表，這項功能不需要額外支付費用。

微軟在2015年正式推出Windows 10作業系統，它除了成為所有微軟裝置的作業系統之外，也透過定期的更新來取代名稱的世代更迭，當時微軟發下豪語，要在2017年中讓Windows 10的全球安裝數量達到10億，不過，微軟一直到本周才抵達此一目標，遲到了近3年。

現在的Windows 10不只被安裝在個人電腦上，它也是Xbox遊戲機、Surface裝置、及HoloLens所使用的平台，根據微軟的統計，有超過1,000家的製造商，生產了超過8萬款不同配置的Windows 10筆電與二合一裝置。此外，在財富雜誌《Fortune》的全球五百大企業中，全部都使用了Windows 10裝置。

在Windows 10問世之後，微軟放棄了每三年進行大改版並更名的Windows開發策略，而是一年進行數次的功能與安全更新。而微軟在今年發表的、基於Chromium的Edge瀏覽器，未來將能獨立更新，也能支援更多版本的Windows。

在達到10億的安裝門檻之後，微軟承諾未來將繼續投資各種版本的Windows 10，不管是供PC使用的，或者是Windows IoT、Windows 10 Teams edition for Surface Hub、Windows Server、Windows Mixed Reality on HoloLens、Windows 10 in S mode或Windows 10X，以滿足不同客戶的需求。

微軟推出Visual Studio Code的第一個Docker擴充套件主要版本，這個新版本更好地支援Python網頁框架，並且為Python和.NET Core開發人員，提供與Node.js相同的Compose支援，開發者使用Docker擴充套件建構、執行和除錯容器化應用程式，將會更簡單。

回應開發人員的建議，微軟提升Docker擴充套件對Python網頁框架Django與Flask的支援程度，由於當工作區添加Docker檔案時，開發者可以選擇要使用Django或是Flask，而現在系統會自動架構出Dockerfile、除錯任務以及啟動配置。微軟提到，Docker擴充套件仍會繼續支援一般選項，供開發者取得更通用的Dockerfile。

Docker擴充套件現在支援使用Compose.yml檔案或是Dockerfile。微軟表示，當用戶只需要啟動帶有少量參數的單一容器，可以僅使用Dockerfile，但是要一次啟動一個以上的服務，或是要啟動一個服務，但是要修改多個Docker執行參數，就可以使用Docker Compose。除此之外，Docker擴充套件針對Node.js、Python和.NET Core開發語言，支援使用Dockerfile對單一服務進行整合性除錯。

在這個新版本中，用戶可以自定義各種命令，像是執行映像檔時，指定擴充套件將產生的容器放置在特定的網路上等。最多使用者要求的更新，是希望在執行像是啟動、停止或是刪除映像檔等命令時，可以一次選擇多個容器或是映像檔，因此微軟這次新增了功能，讓用戶可以一次選擇多個容器或映像檔，並從右鍵選單選擇要對選定項目執行的命令。

另外，當用戶執行包含WSL 2（Windows Subsystem for Linux 2）的Windows版本，可以在Docker Desktop中啟動WSL 2實驗引擎，該引擎會以WSL 2執行，而非使用HyperV執行Linux容器，微軟表示，他們從Docker擴充套件0.9版本開始，就支援並且鼓勵使用WSL 2。

《The Information》報導，在武漢肺炎疫情爆發期間，臉書計畫發放1千美元給所有員工，作為抗疫的費用補助。臉書也證實此事。

報導指出，臉書執行長Mark Zuckerberg本周二透過公司信件宣布此事。這筆津貼將用於補貼員工因武漢肺炎疫情而改為在家上班的費用。臉書全球有將近4.5萬名員工。臉書對《The Verge》證實此事，表示這筆津貼將於4月發放。

此外，臉書員工今年上半年的績效考核，也將獲得「超過預期」（exceeds）的評等，這也將讓員工獲得一大筆績效獎金。報導指出，臉書員工薪資中位數為一年22.8萬美元。

臉書員工表示，這次的大放送也是公司16年來頭一遭。

受到武漢肺炎肆虐歐美，特別是紐約、華盛頓州及加州地區，臉書已要求西雅圖及舊金山灣區員工在家上班。

針對因武漢肺炎無法上班的外包或時薪員工，他們的工作也會由一些全職員工暫代。但同時間臉書也表示，會照常支付這些時薪員工薪水。

臉書是繼本周雲端軟體公司Workday之後，第二家對員工提供抗疫津貼的矽谷科技公司。Workday將提供(https://blog.workday.com/en-us/2020/the-safety-of-the-workday-community-...)基層員工2周薪資，以補助他們在這段期間的花費。

而就在昨日，美國政府也正在研議未來幾周內針對年薪6.5萬以下的美國成年人，發放1千美元的補助，大約有75%的美國人符合該條件。

上周Zuckerberg另外宣布，他和妻子Pricilla Chan共同管理的慈善計畫Chan Zuckerberg Initiative，將與加州大學舊金山分校及史丹佛大學合作，投入COVID-19病毒的醫療研究。

上周蘋果宣布大中華區以外全球的Apple Store將關閉到3月27日，不過隨著歐美進入武漢肺炎緊急狀態，重開時程恐怕再延，蘋果最新公告要大家靜待通知。

蘋果網站周二發出公告，所有零售店面將關閉，直到有進一步通知為止。想儘快購得蘋果商品，蘋果建議利用Apple.com或是Apple Store App線上下單。有服務需求，也需經由蘋果支援網站（https://support.Apple.com/）取得相關資訊。不過蘋果尚未做出公開聲明。

事實上，為了降低COVID-19病毒傳染的機會，除了蘋果之外，美國主要零售業者，包括梅西（Macy’s）、Bloomingdale和Nordstrom百貨、電影院連鎖AMC、Regal，以及Walmart、NIKE、Foot Locker、以及約30多家（https://9to5mac.com/2020/03/17/not-just-Apple-stores-closed/）服飾品牌，也都暫停所有分店營運。

武漢肺炎在美國加州疫情大爆發，也讓全球各國相繼宣布緊急狀態。舊金山灣區7個郡，周一發出「就地避難」（shelter-in-place）令直到4月7日，要求餐廳、電影院、健身房等商店暫停營運，民眾也應停止所有非必要的外出活動，影響約7百萬人。洛杉磯也在上周實施相同的緊急命令。

以色列政府在本周通過了緊急措施，將在未來30天內透過手機追蹤那些已經罹患，或可能被感染武漢肺炎（Covid-19）的病患位置；無獨有偶的，華盛頓郵報也報導，美國政府已主動接洽臉書及Google等科技業者，希望它們能夠追蹤美國用戶的手機，以協助對抗疫情的散布。

根據BBC的報導，以色列的緊急措施將允許以色列的Shin Bet國家安全局，取得電信業者所蒐集的用戶位置資料，再與衛生醫療機構分享。官方將會追蹤確診罹患武漢肺炎的病患，以及曾與這些病患接觸的人士，透過簡訊警告他們，或要求他們強制隔離。

以色列政府動用了緊急權力，繞過議會而直接宣布該措施，消息一出，即引來以色列隱私團體的抗議。而以色列總理Benjamin Netanyahu則解釋，目前該措施的有效期限只有30天，屬於暫時性的策略，且以色列是個民主國家，必須在公民權利與大眾需求之間取得平衡，相關的工具對於找到確診病人及阻止病毒的傳播非常有幫助。目前以色列的武漢肺炎確診人數為337名，在全球各國確診人數排行榜上的30名內。

而衛報則報導，除了中國早就部署了大量的手機及人臉辨識監控系統，原本就能追蹤曾與武漢肺炎病患接觸的對象之外，有許多國家都為了此次的防疫祭出非常措施。例如伊朗要求民眾下載一個可用來診斷武漢肺炎癥狀的程式，卻秘密蒐集民眾的位置；或者是南韓政府更公布了罹患武漢肺炎的民眾的性別與年齡，以及他們曾經所到之處，用意雖是為了提醒民眾，卻造成民眾肉搜這些武漢肺炎患者的效應。

此外，華盛頓郵報也在本周引述消息來源報導，美國政府已主動接洽Google及臉書等科技業者，希望它們能協助蒐集用戶手機位置，提醒民眾保持距離，以遏止武漢肺炎疫情的散布，不過此一專案仍在早期研擬階段，不見得能在號稱民主國家的美國實施。

Google本周宣布，支援Android平台的Google翻譯（Google Translate）程式，即將開始支援即時轉錄（Transcribe）功能。

Google翻譯原本即可支援103種內容的互譯，也支援觸控翻譯、離線翻譯、即時鏡頭翻譯，在與他人的互動中，則可使用對話模式，能夠互譯32種語言的語音，但有些場合可能不適合透過語音來翻譯，即可以即時轉錄取代之。

所謂的即時轉錄是在對方說話時，於手機上呈現目標語言的文字，例如對方說的是法文，但Google翻譯可在手機上以英文的文字呈現。目前該功能只支援8種語言，包括英文、法文、德文、印地語、葡萄牙語、俄文、西班牙文與泰文。

Google翻譯在Android裝置上的安裝次數已突破5億，新的即時轉錄功能現階段只支援Android，但Google也計畫在iOS平台上推出。

為了避免武漢肺炎（COVID-19）疫情的擴散，Uber與Lyft不約而同地在本周宣布將暫停共乘服務。

Uber與Lyft雖然都定位為共乘服務業者，可沿路接送不同的乘客，但許多乘客都是把它們當成一般的計程車來使用，並不一定是共乘；它們各自的共乘服務名稱為UberPool及Shared rides，標榜一趟載送更多乘客可以分擔彼此的交通成本，只是通勤時間會拉長。

不過，就在全球開始提倡「社交疏離」之後，Uber宣布，為了避免擴大武漢肺炎的傳染力，將暫停在美國、加拿大、倫敦與巴黎的UberPool服務。

至於Lyft則說，該公司將暫停全球所有市場的Shared rides服務，以減緩武漢肺炎病毒的散布。

目前武漢肺炎疫情正在歐美大規模擴散，在全球19.8萬個確診罹患武漢肺炎的病患中，已有一半位於歐美，只有8.1萬位於發源地中國，與初期有9成位於中國的景況已然不同，也讓歐美成為全球近來最受關注的疫區。

趨勢科技警告周一發出安全公告，旗下防毒軟體OfficeScan及Apex One有5項漏洞，其中2個零時差漏洞已經有攻擊發生。趨勢已經發布修補程式，呼籲用戶儘速安裝修補程式。

5項漏洞之中CVE-2020-8467及 CVE-2020-8468為零時差漏洞，兩者都已有攻擊行為發生。其中CVE-2020-8467存在於Apex One及OfficeScan的搬移工具元件，可能讓遠端駭客在用戶電腦上執行任意程式碼，屬於遠端程式碼執行（RCE）漏洞。CVE-2020-8468則是屬於內容驗證逃逸（content validation escape）漏洞，也可讓駭客以系統權限遠端執行任意程式碼。兩項漏洞的攻擊需要使用者驗證才會成功，但以風險程度來看，CVE-2020-84697 屬重大（Critical）風險，CVE-2020-8468為較低的高度（High）風險。

OfficeScan為趨勢端點防毒軟體，Apex One則為2019年由OfficeScan改名而成。

另三個漏洞包括CVE-2020-8470、CVE-2020-8598、CVE-2020-8599則全屬重大（Critical）風險漏洞。CVE-2020-8470、CVE-2020-8598皆出在Apex One及Office Scan兩個產品的服務DLL檔，可讓駭客以系統權限遠端刪除、執行任意檔案。CVE-2020-8599則發生在兩個產品的EXE檔中，遠端駭客可以繞過ROOT登入驗證，而將任意資料寫入任意路徑中。三者皆無需驗證即可完成開採，因而皆屬CVSS 3.0風險評分最高10分的漏洞，所幸趨勢科技尚未觀察到有攻擊情形發生。

受影響產品為Windows版本的Apex One 2019，及OfficeScan XG SP1和XG SG (non-SP)。趨勢科技已經分別釋出更新版，包括Apex One CP2117、XG SP1 CP 5474和XG CP 1988，並呼籲用戶儘速安裝。

ZDNet報導，去年日本重工及家電業者三菱電機的電腦遭駭，導致200MB包含6千多名現任及前任員工個資外洩，其實是中國駭客組織Tick發動攻擊開採OfficeScan零時差漏洞CVE-2019-18187的結果 。二次的攻擊行動是否來自同一集團所為尚不得而知。

美國衛生與公共服務部（HHS，衛服部）的民權中心（OCR）本周宣布，為了應付讓美國進入緊急狀態的武漢肺炎（COVID-19）疫情，決定暫時鬆綁美國健康保險可攜性及責任法案（The Health Insurance Portability & Accountability Act，HIPAA）中的隱私規定，讓醫療院所或醫師可透過符合HIPAA規定之外的通訊軟體，自遠端替民眾看診，包括FaceTime、Facebook Messenger、Google Hangouts或Skype。

為了保障民眾遠距看診的隱私，HHS原本要求醫療院所必須採用符合HIPAA法案的軟體來看診，符合資格的軟體包括Skype for Business、Updox、VSee、Zoom for Healthcare、Doxy.me及Google G Suite Hangouts Meet。

但在武漢肺炎疫情開始於美國擴散之際，OCR表示將允許醫療院所使用任何非公共的遠端通訊產品替病患看診，以避免可能罹患武漢肺炎的民眾感染醫生或其他人，包括FaceTime、Facebook Messenger、Google Hangouts或Skype。

此外，OCR依舊限制醫療院所透過公共的通訊軟體進行遠端診療，像是Facebook Live、Twitch或TikTok等。

而且此一法令的鬆綁並不限於診療武漢肺炎，在這個醫療資源緊繃且呼籲民眾應執行「社交疏離」的時刻，也適用於其它的疾病，包括扭傷、牙科諮詢或心理評估等，只是OCR也強調不管是透過何種方式，醫療院所都應該保障病患的隱私。

Uber對外開源可自動刪除過時程式碼的工具Piranha，當用戶的Java、Swift或Objective-C專案大量使用功能旗標（Feature Flag），並且以特定API來控制旗標行為，就能使用Piranha來自動清除專案中，老舊功能旗標的相關程式碼。

功能旗標是一種軟體開發技術，讓開發者隱藏、啟用和停用應用程式中的特定功能，功能旗標使功能在完成且正式發布之前，能獲得充分的測試。Uber大量使用功能旗標來客製化自家的行動應用程式，為不同的用戶群組提供不同的功能，像是對不同地區的用戶提供在地化功能，或是分階段逐步向用戶推出新功能。

當某項功能已經完全向所有用戶推出，或是實驗性功能被棄用後，程式碼中的功能旗標也就過時失效了，沒有作用的功能性旗標會成為技術債，使開發者越來越難以維護程式碼基礎，也會使應用程式過於肥大，執行一些不必要的運算，最終影響用戶操作應用程式時的體驗。

但要消除這些功能旗標也不是一件簡單快速的事，而開發人員花時間消除這些技術債的同時，也就代表他們無法把時間花在開發新功能等有產值的工作上。為了解決這個問題，Uber開發Piranha來自動化這個過程，Piranha能夠掃描原始程式碼，並刪除過時的功能旗標以及相關程式碼，維持乾淨的程式碼庫，使程式碼易於維護，也讓這些過時程式碼不會影響應用程式的效能。

Uber在Android和iOS應用程式的程式碼庫工作管線上執行Piranha，至今已經刪除了約2千個過時功能旗標以及相關程式碼。Uber表示，在程式碼庫中使用Piranha非常直覺，只要在屬性檔案中定義旗標相關的API以及預期行為，接著就能讓Piranha依名稱與行為，清除過時的功能旗標和相關程式碼。

目前Piranha已經對外開源，Uber提到，只要用戶的專案程式碼符合3個條件，就能有效地使用Piranha，首先，程式碼庫中廣泛地使用功能旗標，並以特定API控制功能旗標的行為，且以Java、Swift或是Objective-C程式語言實作而成的專案，皆可以使用Piranha。Piranha有許多新計畫正在進行中，像是改善Piranha產生的重構程式碼，還有要擴充Piranha以支援Kotlin和Go等其他語言的專案。

武漢肺炎疫情延燒造成全球大流行，企業應如何面對日益嚴峻的疫情？臺灣IBM今天透過一場視訊會議，分享自家企業因應疫情的一連串防疫措施。臺灣IBM總經理高璐華指出，IBM大中華區在今年農曆初二成立了防疫團隊，在疫情擴散初期，大中華區約五、六十個高階主管每兩天開一次會，來匯報疫情狀況、擬定復工計畫，並以四大面向為考量，分別從人員安全、環境與物資、業務的持續性、員工心理支持，來作出應變措施。

第一，在員工安全方面，臺灣IBM在過年期間先確保員工、外聘員工的健康安全狀況，調查其旅遊及接觸史、限制疫區的差旅，接著，停止了所有大型活動，並將面對面會議改成線上進行，也即時在Slack中更新由政府方發布的疫情消息來進行應變，比如根據各國的旅遊警示來限制差旅等。

第二，在環境與物資方面，則是在中國疫情爆發時，就從疫情相對不緊張的國外地區採購足量口罩，確保分散在各地辦公的員工都能擁有充足的口罩進行自我防護，而且，公司內部也配置了足量的酒精、洗手液，並與行政管理部門確定所有的清潔打掃物資充足，並訂定每4小時清潔一次、每小時清潔門把與按鈕的規範。

第三，在業務持續性方面，高璐華指出，臺灣IBM首先考量到派駐到客戶端工作的員工，其業務是否能持續進行，在網路方面也建立起VPN專網，鼓勵業務部門除了非必要的情況，否則盡量在家工作。同時，臺灣IBM的GTS部門，也針對在臺灣北投、林口兩地設置的資料中心進行超前部署，在防疫安全方面實施了更嚴格的管制。這也使得在過去一個月內，臺灣IBM的部分客戶選擇提升資料中心租用的合約等級，不僅將其作為異地備援地點，更要作為異地辦公的據點，來將維運人員分為A、B兩組，並派駐其中一組到臺灣IBM資料中心來進行異地辦公。

最後，則是在員工心理支持方面，除了進行武漢肺炎病毒宣導，讓員工有充分的知識面對病毒之外，臺灣IBM也制定中長期的做法，安排心理諮商的課程、講座，教導員工如何面對疫情帶來的長期壓力以及不確定性。

高璐華也指出，IBM不斷調整內部的防疫措施，除了成立大中華區的防疫團隊，在三月全球疫情大流行後，更指派2位資深副總裁擔當IBM全球的指揮官，提出全球的防疫方法。平時，IBM也有常設危機管理小組（Crisis Management Team，CMT），會不定時的做災難演練，比如用手機簡訊通知員工來回報安全狀態，模擬災難發生時的應對措施，且不會事前告知。這些演練都是危機來臨前更長期的準備工作。

此外，臺灣IBM也觀察到，臺灣客戶受疫情影響，從原先不習慣採取遠距工作、視訊會議來溝通，在實際施行後，發現能因此省去交通時間與成本，反而更願意擁抱數位工具或新興科技；而且，客戶也更願意積極訂定或更新營運持續計畫，比如規劃第二辦公室或IT備援，來因應日益嚴峻的疫情。

談到臺灣IBM目前受疫情影響的挑戰，高璐華表示，雖然在第一季、第二季的業務影響並不顯著，但是疫情全球爆發後，由於部分產品的生產地在國外加上航班停飛，如何在諸多限制下持續業務的執行，成為現階段面臨的挑戰之一。

國內武漢肺炎（COVID-19）疫情在這幾天急轉直下，中央流行疫情指揮中心今天再發布新增23個確診案例，總確診病例數一口氣達到100例，相較於3月14日的53例，短短4天案例數就爆增近1倍。

這幾天境外移入確診案例爆增，境外案例已高達71例，中央流行疫情指揮中心更宣布自3月19日零時起，所有入境者都要居家檢疫14天，因此入境旅客居家檢疫人數增加，再加上和確診案例曾有接觸，需要居家隔離的民眾，這些都加重了第一線防疫工作負擔。

為減輕防疫工作相關人員的壓力，政府結合公部門和民間力量，運用高科技提升防疫工作強度及效率。

中央流行疫情指揮中心指揮官陳時中指出，運用高科技的防疫工具，對目前在防疫工作是非常重要的，這兩天境外移入的疫情發展，需要居家檢疫者的人數大增。以機場入境為例，入境旅客可以掃描QRCode填寫相關資料，同時也要求有手機者必須保持可撥通，運用科技建立整套系統，這麼做對人手不足的人工作業方式，能提高資訊的正確性及作業的效率。

善用科技強化第一線防疫工作

針對入境的旅客，結合政府與民間力量，運用科技強化入境、居家關懷、追蹤管理的防疫工作。

中央流行疫情指揮中心資訊組組長簡宏偉說明，我國建立高科技防疫，最早是在大年初四的晚上，由陳副院長召集，NCC、法務部、行政院資安處，成立大數據小組，在傳染病防治法的授權下，以去識別化資訊，研擬有效的高科技防疫。為了掌握居家隔離、居家檢疫者的落實情形，規畫從入境、居家關懷到監控的管理系統。

當旅客入境時需線上填寫旅客入境健康聲明、返國後需居家檢疫通知書，資料將傳到14天居家關懷的防疫追蹤系統，透過民政、衛政、警政的協同合作，關懷居家檢疫、居家隔離的民眾個人健康狀況；而在地方縣市政府方面，防疫指揮中心也建立電子圍籬系統，並提供給地方政府，讓縣市境內有多少居家檢疫、居家隔離的民眾。

簡宏偉表示，從入境、居家關懷到科技追蹤都串接資料，最後到電子圍籬追蹤管理，僅蒐集手機的位置資訊，當民眾超過圍籬的範圍，就會發出簡訊通知給當事人及警政系統。他強調電子圍籬是蒐集居家隔離、居家檢疫民眾的手機位置訊號，並沒有取得其他資料。

為了減輕居家關懷的工作壓力，中央流行疫情指揮中心宣布和HTC DeepQ、Line合作，由DeepQ規畫設計，透過LINE Bot的系統，讓居家檢疫、居家隔離的民眾，透過LINE Bot主動回報個人健康狀況，以科技協助居家關懷的落實。

協助「疾管家」聊天機器人開發的HTC DeepQ表示，配合政府防疫工作，入境旅客的居家關懷人數增加，「疾管家」開發團隊將和衛福部、疾管署設計開發「防疫追蹤系統」的Line Bot系統，未來居家檢疫者可透過Line Bot主動回報健康狀況，並在第一時間取得防疫相關資訊。

至於何時居家關懷主動回報的Line Bot會推出，簡宏偉回應，目前還沒有上線日期，近期討論後再作報告。Line Bot的目的是減輕第一線防疫人員的壓力，如果居家隔離、居家檢疫的民眾沒透過Line Bot回報健康狀態，將依一般流程，由民政人員關懷。

他也補充說明，Line Bot是輔助性工具，讓居家健康管理的民眾可以上傳資料，和後端系統結合，讓居家關懷更全面，未來不只是讓民眾上傳資料，也希望提供相關衛教的資訊。