運動相機製造商GoPro本周宣布策略調整，計畫在2020年減少1億美元的營運支出，準備裁減逾20%的人力，估計影響超過200名員工。

2002年在美國成立的GoPro為全球知名的運動相機品牌，也在2016年推出Karma空拍機，但2018年就宣布退出空拍機市場，並裁撤近300名員工，之後GoPro在市場上的表現就節節敗退。該公司在2014年以24美元的發行價，登上了那斯達克股市，而近期的收盤價只剩2.58美元。

GoPro聲稱其策略調整，是為了轉型成以消費者為中心的直接銷售業務，以提高效率及獲利。GoPro創辦人暨執行長Nicholas Woodman表示，該公司的全球銷售網路都受到武漢肺炎（COVID-19）疫情的影響，使得該公司決定加速轉型到直接銷售。

根據統計，去年GoPro.com吸引了700萬的不重覆訪客，消費者直接在該站購買商品的營收，占了歐洲市場營收的逾20%，在美國市場也占接近20%，且今年第一季的比例更高。

不過，GoPro在關鍵市場仍會出貨給主要的零售商，以讓消費者也能透過實體商店購買。

GoPro也公布該公司今年第一季的財報預測，預期該季可創造1.19億美元的營收，每股虧損0.3美元。

Google揭露，Gmail平均每天都要攔截超過1億封的網釣郵件，而過去一周以來，在每天擋掉的網釣或惡意郵件中，就有1,800萬封與武漢肺炎（COVID-19）有關。

Google表示，網釣威脅是早就存在的，且跟武漢肺炎疫情有關的網釣郵件也不算新鮮事，駭客只是在全球把注意力都集中在疫情時，變更既有攻擊行動的主題罷了。

不過，Google公布了最常見的網釣郵件以供外界參考。其中一個是仿冒成世界衛生組織（WHO）或其它官方組織的郵件，內容可能是要求使用者捐款，或是開啟含有惡意程式的附加檔案。

還有一種網釣郵件是鎖定在家工作的使用者，偽裝來自企業的管理部門，要求使用者輸入個人資料；另一種則是針對小型企業，偽裝成要提供紓困方案的政府組織，要求收件者下載含有惡意程式的附加檔案；或是假裝是被隔離企業的潛在客戶，宣稱無法與企業聯繫，要求收件者下載惡意檔案。

總之，駭客針對有意捐款的民眾、在家工作的民眾，以及受疫情影響的企業，都編造了不同的故事，來吸引收件者輸入機密資訊或下載惡意檔案。

因此，Google規勸Gmail用戶不要下載來路不明的附加檔案，或是以Gmail內建的文件預覽工具來檢視檔案；在要造訪郵件中的連結時，仔細檢查網址的正確性；也應在收到網釣郵件時予以檢舉。

除了每天有1,800萬封與武漢肺炎有關的惡意或網釣郵件之外，Gmail每天攔截的、與武漢肺炎有關的垃圾郵件更超過2.4億封。

AWS更新其資料遷移與邊緣運算裝置Snowball Edge，採用運算能力更好的晶片擴充記憶體，並增加額外的管理工具。

Snowball Edge為AWS在2015年推出的裝置，是Snowball系列裝置，具有機載儲存以及部分AWS服務的運算能力，讓用戶在偏遠或是網際網路連線不穩定的地方，可以使用Snowball Edge裝置先收集資料，將資料進行機器學習、處理或是儲存，然後將Snowball Edge裝置送回AWS。多臺Snowball Edge可以組成叢集，供用戶建置大規模的臨時系統。

Snowball Edge依功能分為兩種，一是專為儲存最佳化的裝置，另一種Snowball Edge則是為運算最佳化，這次AWS更新了為儲存最佳化的Snowball Edge，使用新硬體提高1倍的處理能力，並將資料傳輸速度提高25％；原本為儲存最佳化的Snowball Edge只有24個vCPU，現在升級為40個vCPU，而記憶體本來為48 GB，而新版本則有80 GB。

AWS提到，該裝置現在使用時脈達3.2 GHz的處理器，代表使用者可以在Snowball Edge中啟用高規格的EC2執行個體，執行更複雜的資料預處理以及分析工作；為儲存最佳化的Snowball Edge提供80 TB供資料處理和資料轉換工作負載之用，額外還有SATA固態硬碟1 TB的容量，供EC2執行個體在裝置上啟動之用；該裝置搭載100 Gigabit QSFP28網路配接器，可大幅改善網路傳輸速度。

用戶可以串接12個為儲存最佳化的Snowball Edge形成叢集，以創建單一S3相容的儲存桶，達到將近1 PB的資料儲存空間，還可在其上執行AWS Lambda服務。

另外，Snow系列的裝置現在可以使用圖形介面應用程式AWS OpsHub，來管理Snowball Edge裝置，進行解鎖和配置裝置等操作，用戶只要利用拖放操作就能複製資料、啟動應用程式、監控裝置指標和自動化例行性操作。AWS OpsHub可在Windows或Mac上安裝，即便沒有網際網路連線也能順利運作。

用戶現在還可以使用基於使用者的IAM政策，控制Snowball Edge裝置上服務與資源的存取，當多用戶存取同一裝置，IAM政策可以良好地管理每個用戶的權限。而AWS Systems Manager現在也支援Snowball Edge裝置，AWS Systems Manager可以自動化例行性的維護以及部署工作，用戶可以使用Python或PowerShell撰寫腳本，放到AWS OpsHub中執行。

Google開發了可用於JVM語言Kotlin的gRPC專案，讓開發者可以在Kotlin專案中方便地使用gRPC，以更簡單的方式建構可靠的網路連接服務，Google現在將這個專案對外開源。

gRPC是Google所發起的開源遠端程序呼叫框架，該框架建立於HTTP/2協定之上，使用Protocol Buffers作為介面描述語言，gRPC可透明化用戶端和伺服器端應用程式間的通訊，簡化建立連接系統的工作，其支援多種程式語言，包括C++、Java、Objective-C、Python、Ruby、Go、C#與Node.js等。而遠端程序呼叫（Remote Procedure Calls，RPC）則是一種協定，讓程式能向網際網路上另一個應用程式發送服務請求。

Google在2015年的時候開源了自家開發的gRPC框架，其自家雲端產品和微服務也都有使用gRPC，多家知名大型企業包括CoreOS、Lyft、Netflix、Cisco、Juniper等，也都以gRPC架構，來加速服務效能或串流遙測資料。2017年的時候，Google將gRPC框架貢獻給雲端原生運算基金會（Cloud Native Computing Foundation，CNCF），成為CNCF第6個開源專案。

現在Google開源了Kotlin gRPC專案，讓開發者可以結合Kotlin和gRPC，開發行動應用程式以及雲端微服務，Google提到，這個專案是建構在gRPC的Java API之上，支援Kotlin協程（Coroutine），對Kotlin專案更加友善。

gRPC Kotlin可用來建置在無伺服器運算平臺Cloud Run上執行的服務，開發者可以在Cloud Run上部署非串流gRPC Kotlin服務。而在支援串流gRPC的環境，開發者也能以Kotlin非同步Flow API使用串流gRPC。

開發者想在專案中加入gRPC Kotlin，則需要一併添加生成器與grpc-java配置。目前gRPC Kotlin仍在測試階段，初始版本為0.1.1版本，開發者有任何使用上的問題，可在開發專案儲存庫中回報，協助專案發展。

Kotlin為Google力推的程式語言，是一種在Java虛擬上執行的靜態型別程式語言，其被設計成可以與Java互通，並且能使用Java參照的函式庫，在2019年，Google已經指定Kotlin成為Android平臺的第一開發語言，Jetpack API和功能都將優先提供Kotlin版本。

在這幾年竄紅的短影片社交軟體抖音（TikTok），不僅爆發資料會傳回中國的爭議，引發用戶告上美國法庭，更導致該國軍方禁止官兵使用，也多次出現嚴重漏洞，讓駭客能隨意擺布用戶帳號，而最近，有兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry發現，抖音手機應用程式下載影音內容的過程，並未經由加密的HTTPS協定保護，很有可能導致所謂的中間人攻擊（MitM），駭客能夠藉此冒用名人或是國際組織的名義，來散布不實的訊息。因此他們呼籲字節跳動（Bite Dance），要正視這個問題，並儘速處置。

這兩名開發者指出，所有擁有大量使用者的社群媒體，都是仰賴內容傳遞網路（CDN）來大量發送資料到全球各地，抖音也不例外，但是他們使用免費的網路封包分析軟體Wireshark分析流量後發現，抖音的CDN使用了HTTP協定，來傳送影片和其他的資料到用戶手機。他們測試了iOS的15.5.6版與Android的15.7.4版抖音App，都出現上述沒有使用加密措施來保護網路流量的情況。這些未加密傳輸的內容，包含了影片、影片預告畫面，以及用戶帳號的頭像等。

兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry透過Wireshark發現，抖音的內容傳遞網路（CDN）竟使用了未加密的HTTP協定，來傳送影片到用戶端。

這種漏洞如果遭到濫用，駭客能夠藉此從中竄改用戶端下載的內容，特別是影片的部分。為了驗證可能會帶來的影響，Tommy Mysk和Talal Haj Bakry事先準備了一系列偽造的影片，並且上架到假的抖音CDN伺服器，然後引導手機應用程式到假的CDN伺服器下載影片，手機的使用者便會看到他們所準備的假內容。

兩名行動應用程式開發者發動了概念驗證攻擊，向用戶端抖音App傳送假的影片內容，像是冒名美國歌手Loren Gray的貼文，宣稱吸煙能殺死武漢肺炎病毒，或者是以世界衛生組織的名義，指出洗手過於頻繁會導致皮膚癌等不實訊息。

在不同的產業、使用場景、威脅態勢當中，我們對於資安的認知，可能都有很大的差異。以近期爆發的Zoom爭議事件來看，有人認為學校教學不牽涉到機密，不需要如此大驚小怪；有人則認為視訊會議被旁人亂入，是因為系統為了方便大家使用而沒有強制設置密碼，所以，開設會議的人應該要負責，而不是系統的錯；也有人提到這樣的資安問題，已非技術問題，而是政治問題。

關於第一、二種說法，涉及每個人對於隱私的定義，不過，既然我們討論的是學校的場景，大眾能否接受這樣的暴露，答案已經很清楚。視訊型態的教學雖然是虛擬的場域，但也跟實體校園一樣，不能容忍非法的窺伺與干擾。學校的教學當然需要公開、透明，但這是否意味著他人可以任意進出校園，導致學習過程可能受到影響？更遑論人身與心理安全層面的顧慮，如果校方不積極管制出入的人員，而用「平生所為，未嘗有不可對人言」自以為是的態度，來看待環境安全，家長恐怕也不願意讓自己的孩子冒著這樣沒有隱私的風險，到學校上課吧！

再來是簡化系統操作卻有不設防的危機，到底是使用者還是產品的責任。這讓我想到過去我們報導歐盟GDPR與即時通訊廠商Line的資安作法時，所提到的一些概念，像是Security by Design、Privacy By Design。

「人非聖賢，孰人無過」，身為產品研發端，我們很難開發出毫無任何安全瑕疵的產品；而身為使用者，我們會疏忽、偷懶。因此，用戶除了持續要求廠商要提高產品整體與每個環節、元件的安全性品質，對於業者而言，在解決方案開發的過程當中，若能考量到使用者不會主動採取確保安全與身分合法性的動作，而將相關的設定步驟、流程整合進來，後續資安問題也會減少很多。

最後，Zoom的爭議是資安、技術或政治問題？我們認為，可能也同時涉及「誠信」的問題。

Zoom最難以辯駁的部分，是他們聲稱採用全程加密（end-to-end encryption），但新聞媒體The Intercept在3月31日，揭露Zoom跟大家所認知的作法有出入，隔天Zoom也在部落格發布文章，表明他們的作法的確與現行採納的定義不一致，到了4月3日，加拿大多倫多大學市民實驗室發表一篇研究報告，探討Zoom視訊會議的機密性保護，裡面提到Zoom系統採用AES演算法、128位元長度的金鑰來加密，然而執行模式竟是最不理想的ECB。

對此，去年曾來臺參加臺灣資安大會的密碼學大師Bruce Schneier，在其部落格專文的評論，相當發人省思。他認為AES-128沒問題，但用了ECB模式，代表這家公司根本不懂加密。而Zoom應該也接收到這樣的批評，在4月8日的部落格文章提到，正將加密方式從AES-256 ECB升級到AES-256 GCM，預計在45天內聚焦於此項工作。

事實上，Zoom在他們的官方文宣上，就有說法不一致的狀況。他們聲稱採用全程加密，但如果仔細檢視他們的資安白皮書，我們會發現，前半段強調用戶「可以採用256位元AES加密」來保護共享內容與網路連線，但在Zoom Phone的身分認證與多媒體加密，是128位元AES加密。

Zoom後來才表明他們的作法與大家的認知不同，雖然可取，可惜為時已晚，他們的確是揭露部分事實，但並不夠直接，用戶若沒有仔細審視這些規格，基於業界共識來認定，很可能就會因此誤判情勢。不論這家廠商是否真的有意這麼做，但此刻事態一一被揭發，終究讓人難以接受，而產生被欺騙的感覺，認為廠商不老實。因此Zoom若要挽回用戶信任，勢必要花更大的成本和時間，來證明自己重視資安與誠信，還要主動揭露更多技術細節，因為用戶絕對不想再被誤導。

 相關報導  為何Zoom資安受到各界質疑？

隨著武漢肺炎疫情擴散至全球，遠端協作與視訊會議需求大增，在這樣的風潮之下，有一家雲端視訊會議業者Zoom，其安全議題掀起相當大的波瀾，因為他們提供的SaaS服務在資安加密的做法引爭議，以及資安漏洞接連被爆出，成為矚目焦點。

儘管該公司近期的漏洞修補都很即時，但卻被人發現誇大其安全性，也有會議金鑰經中國伺服器傳送的狀況，再加上過去他們對於隱私與資安的不夠重視，也被重新被檢討，更是牽動著各界對於該公司產品的看法。這樣的態勢，不僅導致使用者被迫臨時改選用其他平臺，甚至，也促使全球開始有企業與政府開始規範要求禁用。到底，這次Zoom是如何引發資安爭議與關注呢？

遠距工作安全風險成焦點，提醒用戶注意安全使用Zoom

在疫情衝擊之下，為防止群聚感染傳播的風險，現在政府機關與企業都制定了遠距工作對策，以此作為顧及持續營運的重要防疫措施，在此態勢之下，遠距工作時所要注意的相關資安風險，也成企業與個人的關注重點。

例如，需注意公司VPN的安全管理，以及資料存取與身分驗證等面向，而視訊會議工具的安全使用，也成不容忽略的一環。

的確，近期各界使用視訊會議的需求暴增。從視訊會議程式的下載次數，可以看出其熱門程度，根據行動程式分析機構App Annie的分析統計，單是3月中旬的一周下載量，不論是Google Hangouts Meet（現稱Google Meet）、Microsoft Teams與Zoom等，與2019年第四季的週平均相比，幾乎都有10倍到30倍的超高成長。而這樣的現象，也使得各協作平臺也傳出連線不穩與斷線的狀況，原因就是同時上線用戶太多，導致系統難以負荷。

但沒想到的是，在提醒使用者注意遠端工作安全的趨勢之下，在3月下旬，視訊會議Zoom成為資安焦點，並且爆出了一連串的隱私與資安問題。

例如，在3月26日，資安業者Check Point發布了安全使用Zoom的四大注意事項，包括隨時更新軟體、啟用會議密碼、管理與會者發言，以及隨時為會議記錄影片洩漏做好準備。

事實上，Check Point之所以這麼做，是因為他們在去年7月22日曾通報Zoom的安全問題，指出攻擊者將能透過猜測Zoom會議連結的會議ID（隨機9碼、10碼與11碼數字），偷偷加入到會議之中，並提及缺乏會議密碼保護的問題，而他們的研究人員利用隨機產生的會議ID，以自動化方式找出4%有效會議。無獨有偶，另一家資安業者Cequence Security，也曾揭露相關的安全問題。

對於這樣的問題，其實Zoom在3月20日也於官方部落格提出建議，告知用戶如何避免不速之客闖入。

在臺灣，中央研究院的2位專家也在3月26日於部落格發表文章，該單位資訊服務處呂紹勳與資訊科學所研究員陳伶志，特別針對Zoom提供安全使用上的建議，在網路上受到相當大的關注。當中雖無揭露具體事證，但也整理了對於Zoom資安隱憂的正反方意見，而最令人不安之處在於，Zoom開發團隊皆在中國境內，而中國政府向來有干預境內高科技公司的前例。

在短短一周內，Zoom接連不斷的隱私與安全漏洞被爆出

但這場資安風暴才剛剛開始。

雖然Zoom在2019年曾被揭露的幾個資安漏洞，但都已是過去式，弱點早已被修復，卻也在此時被重新議論，更沒想到的是，新的隱私與漏洞問題遭連續爆出，讓Zoom在短短一周時間內，深陷隱私與安全的泥沼。

首先，在3月24日，一名代號為@_g0dmod的安全人員在推特上指出，Windows版Zoom程式的聊天功能，可張貼像是\\x.x.x.x\xyz之類的連結，此問題，將讓他人嘗試竊取點擊者的NTLM雜湊密碼。屬於UNC注入漏洞。

在3月26日，科技網站Motherboard揭露iOS版Zoom程式的隱私問題，在使用者不知情的狀況下，這支App將資料傳送給臉書，但在Zoom的隱私政策中，只說明可能會蒐集用戶在臉書上的個人檔案資訊。隔日，Zoom立即移除臉書SDK以撇清關係。

到了3月30日，Zoom的安全風暴越演越烈，隨著使用人數的大幅成長，更多Zoom的漏洞討論快速獲得關注。

首先，網路安全公司VMRay的惡意程式研究人員Felix Seele，在推特上指出macOS版的Zoom程式的安裝問題，質疑為何使用者不用點擊就可以完成，於是，他決定著手進行深入的研究；接著，另一macOS安全研究人員Patrick Wardle（網路暱稱為Objective-See），也從Felix Seele的發現找出其他問題，在部落格上直接公開其發現，他指出Mac版Zoom程式存在可偷偷存取Mac網路攝影機與麥克風的安全漏洞。

同日，美國聯邦調查局（FBI）發出公告，提醒大家需注意干擾視訊會議的亂象，並舉出兩起當地麻州學校在使用Zoom進行線上教學遭亂入的案例，警告用戶注意這樣的行為，並建議使用者應落實管控，例如，舉行的會議或課程不應設為公開，以及設定會議密碼與會議主持人管理等措施。

接下來的幾日，更是天天都有Zoom的相關新聞曝光，有些是新的問題，有些是相關事件的後續。

例如，英國首相Boris Johnson在3月31日於推特上張貼了一張照片，表示自己用Zoom與內閣成員開會，但照片暴露了會議ID等 資訊，引發安全爭議。

同時，國外媒體陸續揭發更多問題及不同單位禁用Zoom的消息。例如，在3月31日，根據The Intercept爆料指出，Zoom的端對端加密技術，只有應用在文字傳輸，而視訊與音訊的傳輸並沒有；在4月1日，根據路透社報導，美國太空公司SpaceX在3月28日就以電子郵件通知員工，要禁止使用Zoom，而美國太空總署（NASA）也同樣禁用。

同時，先前指出Mac版Zoom程式安全問題的VMRay研究人員Felix Seele，在官方部落格也公布其完整研究發現，當中提到Zoom的安裝使用了與MacOS惡意軟體相同的技巧，並有誤導性的說明。

創辦人上火線，Zoom公開承諾要在90天內強化資安

【Zoom宣布90天資安強化計畫】視訊會議平臺Zoom被揭露的一連串隱私與安全問題，該公司執行長袁征（Eric S. Yuan）在4月1日出面回應與道歉，指出暴增的用戶數為他們的服務帶來挑戰，允諾將在90天內專注於安全及隱私問題的改善。到了4月8日，他們也宣布將設立資安長會議與顧問委員會。

面對種種的產品安全疑慮，在4月1日，Zoom的創辦人暨執行長袁征（Eric S. Yuan）在部落格上親自道歉，說明用戶數在三個月內從1千萬暴增至2億，如此暴增的用戶數與各式使用情境，其實超出了Zoom的規畫，他並承諾，將在90天內暫緩開發新功能，將資源完全投入以解決平臺的安全及隱私問題。

關於近期被揭露的資安漏洞，Zoom也採取行動。例如，先前研究人員@_g0dmod指出的Windows版Zoom程式安全問題，在日前獲得其他研究人員證實，並曝光於媒體後，他表示Zoom已修補這個UNC連結的安全問題，同時修補前幾日的Mac版Zoom程式漏洞，並更新資料蒐集的隱私政策。

Zoom對於漏洞的快速修補，也受到不少資安研究人員的肯定。他們認為，Zoom近期的產品安全應變做得很不錯，其中也包括發現Zoom漏洞的Felix Seele，他在推特上表示，Zoom的快速修補令他印象深刻。

只是，雖然Zoom更明確地揭露該平臺的加密能力，也表示他們沒有建立解密的機制，但先前號稱端對端加密卻不實的情形，顯然其安全問題可能不小。

確實，事情並未就此告一段落。儘管Zoom對於新漏洞的修補很即時，也已經大動作表明要強化其產品安全，但是，接下來，又有一波新的問題曝光，再讓大眾對Zoom的資安無法放心。

資訊安全與人權團體發布研究報告，再次揭發Zoom更多安全隱憂

在4月3日，加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員發布研究報告，為Zoom的不夠安全投下震撼彈。該報告指出三大重要發現，首先，是Zoom宣稱使用256位元的AES加密金鑰，但其實只有128位元，並且是較不理想的ECB模式；其次，是Zoom使用了上述非標準的加密方式，而且會議金鑰在特定情況會經中國伺服器產生與傳送；第三，則指出擔心Zoom會受制於中國政府的問題。

綜觀這次研究報告的內容，Citizen Lab發現，Zoom在加密方面有誇大安全性之嫌，並指出未採用最佳安全實務設計，而會議的加密金鑰傳送至中國伺服器一事，雖然他們沒有具體事證指出中國官方實際介入取得，但也無法忽視因此暴露的可能風險。

而這份報告一公開，也讓Zoom的品牌形象再次受影響，而Zoom執行長袁征在同日於官方部落格快速做出回應。他表示，在地理圍欄的機制方面，通常Zoom是依據用戶位置來決定所使用的資料中心，但如果多次連線失敗，將連線至兩個備用的資料中心。只不過，今年2月他們為了暴增的連線需求，在匆忙之中，不慎錯誤將兩個位於中國的資料中心，加入到國際備用伺服器的白名單，進而導致美國服務連往中國伺服器的情況，現在他們已修正此問題；對於加密的議題，袁征則表示會與第三方專家共同討論，以找出更適合的解決方案。顯然，他們希望藉由坦承錯誤，以重新贏得大眾信任。

陸續有多國高機敏單位、政府機關，以及教育與企業單位宣布禁用

只是，不信任的效應已經形成，並遍及全球各地。繼先前SpaceX與NASA禁用後，在4月4日，根據美國媒體CNN的報導，指出紐約市教育局發言人Danielle Filson正指示當地學校，盡快停止使用Zoom。

在臺灣，Zoom很早就進入臺灣市場，國內已有許多使用者，因此，大家對於Zoom的議題也同樣相當關心，而陸續傳出停用消息。例如，在4月6日傍晚，中華電信率先宣布，在釐清資安疑慮前，先停售該公司的Zoom服務方案，4月7日，行政院資通安全處也對遠端視訊的使用發出公告，指出應以國內產品及共同供應契約所列品項為優先，並已通函國內公務機關與非公務機關，不應用Zoom。

接下來，教育部也在同日下午發表聲明，指出在收到第1091069976號函後，將通知各級學校全面禁用，同時也會移除教育雲之線上學習頁面的使用說明文件。不過，這樣急轉彎的政策，卻在國內教育界引起不小的反彈聲浪，例如，已有很多學校的老師與學生開始學習用Zoom線上教學，而部分人士認為，在不需要考量保護機密性的狀況下，教育單位不一定要禁用。

為了強調在資安的投入，Zoom在4月8日宣布成立資安長會議及顧問委員會，將找來VMWare、Netflix、Uber等多家公司的CISO擔任成員，並將聘請前臉書安全長Alex Stamos擔任外部資安顧問，希望挽回消費者信心。

但是，難以讓用戶繼續信任Zoom的狀況，還是持續上演。例如，又有以色列安全情報業者Sixgill的消息，指出有駭客在暗網公布352個Zoom帳號的名單。

後續，國際間則是出現更多禁用Zoom的消息，包括政府機關與企業。例如，在4月6日，根據澳洲媒體The Australian的報導，當地禁止國防人員使用Zoom來進行視訊會議。在4月8日，美國媒體BuzzFeed News報導，指出Google其實在上個星期，就已經以電子郵件通知員工禁用Zoom，說明該工具未符合內部使用程式的安全標準，因此將限制Zoom在企業電腦上的執行；同樣是在8日，德國媒體Handelsblatt報導了該國外交部通知機關人員，禁止在公家裝置使用Zoom，但考量合作夥伴可能使用，因此通融以個人裝置用Zoom進行公事交流。

而在4月9日，根據美國Cnet等媒體報導，美國參議院也要求所有的議員不要使用Zoom；而新加坡也傳出教育部要求教師暫停使用Zoom，根據當地媒體Channel News Asia報導，當地教育部在收到Zoom Bombing事件的報告後，為了預防起見，也要教師暫停使用Zoom，而在相隔4日後，才又允許逐步恢復使用。

無論如何，儘管Zoom強調要在90天強化資安，但目前事件還在持續，不只是漏洞接連爆出，而先前被揭露其產品並非真的貫徹端對端加密，以及加密作法不夠周延，還有會議金鑰誤經中國資料中心等安全問題，再加上許多事件突顯該公司有誤導、欺騙性的行為，上述這些被公開的資安問題，都暴露其產品的高風險性。

此外，我們也要提醒大家不只是注意單一廠商，更難防的是，他們生產的軟體元件，也可能輸出給其他廠商使用，而以不同廠牌的解決方案供應給用戶。例如，去年就有研究人員提出相關發現，市面上兩款取得Zoom技術授權的視訊會議App：RingCentral和Zhumu，存在與Zoom相同的弱點。

何謂Zoom Bombing？

若要防止與會者擅自分享螢幕畫面干擾開會，主持人在會議前或會議進行時，可以在Zoom的進階設定選項中，限制僅主持人可以共享螢幕畫面。

在Zoom本身的多項隱私與資安漏洞之外，近期最多討論的安全問題就是Zoom Bombing，簡單來說，就是有其他使用者擅自闖入視訊會議的行為，並且故意在視訊畫面上分享色情或冒犯性的內容，干擾了會議的正常進行。

為何這些人能夠做出這樣的惡作劇行為？這事因為，他們可以找到公開在網路上的Zoom會議連結網址或會議ID，或是透過自動化工具找出有回應的會議ID。

對於如何不被外人闖入的問題，Zoom於官方部落格中，建議了3大使用原則。

（一）要對螢幕的控制權有所掌握：在會議前或進行期間，設定自己是唯一可分享螢幕的成員

（二）應做好與會者的管理：包括會議鎖定與刪除不需要的參與者等，而現在所有單一會議室主持人在召開會議時，需要強制設定密碼，用戶也應每次會議都設立不同的會議密碼

（三）開啟等候室的功能：讓與會者不會立即進入會議，需要會議主持人一個個手動批准與會者進入會議室。

市面上有那些雲端視訊會議平臺？

早年的網頁視訊會議，多數企業最為熟知的產品就是Webex、GotoMeeting，直到後來行動裝置、雲端興起，以及視訊壓縮技術的進步下，在6、7年前，我們看到雲端視訊服務產品的興起，包括Zoom、Blue Jeans、Fuze、Starleaf與Vidyo等。在這些產品當中，我們看到像是Zoom與Vidyo等，都進入臺灣市場，其他新興服務在國內的知名度則不高。

以當時的Zoom而言，最大特色就是介面相當簡單直覺，雖然提供的操作功能項目還不如老牌產品，但當時以免費版與低價推出市場，加上其他新興雲端視訊未進入臺灣市場，又有正體中文介面語系的支援，因此獲得不少用戶青睞。而在這麼多年發展之後，Zoom在全球市場同樣大有斬獲，已是這些視訊會議新創中最知名的業者。

另一方面，除了硬體視訊會議與雲端視訊會議的介接變得更普遍，早年強調的整合通訊也朝向雲端協作平臺的潮流來發展，像是微軟從Lync到Skype for Business，到現在的Microsoft Teams，而從雲端出發的Google，本身也提供Hangouts Meet（現改名為Google Meet）。

另外，還有一些雲端視訊會議產品的動向，也很值得一提，例如，早年我們介紹過的GotoMeeting與Join.me，現在成為LogMeIn旗下產品，而硬體視訊業者Lifesize後來也順應了雲端潮流，推出了Lifesize Cloud，該公司之後則被羅技併購，不過，這些產品在國內受關注的程度是比較小；另外，還有影像編輯軟體大廠Adobe很早推出的Adobe Connect，近年也活躍於臺灣教育市場。

此外，以PowerDVD聞名的訊連科技，在2017年開始切入此一領域，是起步較晚的業者，並是少見的臺灣產品；至於國內的共同供應契約當中，我們還看到一些市面上較少注意到的產品，例如，狀態網際網路的Status PowerMeeting，泰溥科技的TOPMeeting，以及太御科技（JoinNet）代理的美國HomeMeeting等多款產品。而在開源軟體產品中，近年則有Jitsi Meet受到不少使用者推薦。

附帶一提的是，原是屬於遠端控制類型的工具軟體，其實也有加入視訊會議的功能，例如TeamViewer，因為技術相近，但使用者必須對這類軟體的功能有所認識，它的功能還包括遠端控制你或對方電腦，不只是單純的視訊會議軟體。

 相關報導 為何Zoom資安受到各界質疑？

 2019年7月9日 

Zoom程式安裝的本地端網頁伺服器引發安全爭議

資安研究員Jonathan Leitschuh揭露Zoom客戶端零時差攻擊漏洞，指出存在DoS漏洞，以及未經授權啟動攝影機的漏洞。該研究人員自2019年3月8日通報對方後，雖然Zoom已進行修補，但其中一個漏洞的修復並不完全，後續在漏洞揭露期限後，於2019年7月9日公開。同時，Jonathan Leitschuh提到Zoom的幾個安全問題，例如，其Mac版程式會在系統安裝一個本地主機（Localhost）的網頁伺服器，但解除安裝Zoom時無法真正移除它，且任何網站都可與之互動，溝通方式非常危險，他並推測Zoom刻意繞過瀏覽器的安全保護機制。在事件曝光之後，隔日，Zoom表示，新版本將移除本地主機網頁伺服器，而蘋果為了安全，更是在同日發布macOS更新，要將易受攻擊的Zoom本地主機網頁伺服器移除。

 2019年7月15日 

取得Zoom技術轉移的產品，也有同樣漏洞問題

對於Zoom未經授權可啟動攝影機的漏洞問題，幾日之後，另一位研究人員Karan Lyons繼續追蹤，他發現這樣的隱私問題，其實，也發生在取得Zoom技術授權的兩款視訊軟體上，例如，RingCentral與中國的矚目（Zhumu），而且這兩款安裝在用戶電腦上的網頁伺服器，當時蘋果也沒注意到，因此未被移除。

 2019年10月1日 

業者提醒Zoom與Webex應改進線上視訊會議密碼設定

安全廠商Cequence Security的CQ Prime威脅研究小組，揭露視訊會議工具有列舉攻擊漏洞，包括Zoom與Cisco Webex都受影響，該公司指出，攻擊者可以用自動化工具掃描這些平臺的API，進而透過呼叫的回應找出有效會議ID，以及是否需要密碼，若無須密碼就能直接加入會議偷聽。同日Cisco發出資安公告，指出他們在7月24日收到通報，最終確認這並非弱點，但提醒用戶需為會議設密碼保護，而Zoom則是在常見問答頁面，說明預設會議需輸入密碼。

 2020年自1月底 

武漢疫情在全球蔓延，遠距工作需求大增，各個協同作業與視訊會議平臺的用量爆漲

隨著採取在家工作以因應疫情的態勢，各個雲端協作平臺與視訊會議的用戶數都大幅增加，而遠距工作的風險問題也成關注焦點，在此當中，Zoom的資安隱憂開始受到大量關注。

 2020年1月28日 

視訊會議ID與會議密碼設定問題再次被揭露

資安業者CheckPoint研究人員公布Zoom漏洞研究，他們發現，該漏洞將可能導致不良用戶偷偷參加私人會議，而Check Point已於2019年7月22日通報Zoom。研究人員指出，每次Zoom會議都有唯一的ID，由9、10或11個唯一數字組成，而他們的研究人員能夠透過自動化方式，猜出大約4％的有效會議ID，因此，他們建議Zoom應該重新製作產生會議ID的演算法，並且應重視會議密碼。

 2020年3月20日 

Zoom教用戶如何避免不速之客闖入會議

對於有越來越多用戶使用Zoom，特別是線上學習，Zoom在官方部落格上特別提醒用戶，注意舉辦公開會議及管理與會者的問題。

 2020年3月24日 

被揭露Windows版程式存在UNC注入漏洞

在推特名為Mitch，代號@_g0dmode的安全研究人員，他指出Windows版Zoom程式的漏洞。該軟體允許用戶在聊天功能，張貼像是\\x.x.x.x\ xyz之類的連結的問題，若被其他使用者點擊，Windows會透過SMB檔案分享功能來開啟遠端檔案，同時傳送使用者的登入名稱及NTLM雜湊密碼。這個問題也被其他資安研究員證實，並可竊取Windows系統用戶的登入密碼。後續，Zoom在4月1日表示修復該漏洞。

 2020年3月26日 

臺灣中研院專家整理Zoom資安疑慮的正反意見，並提供若要安全使用的一些建議

各個視訊協作平臺用戶大增，不過對於強調操作簡單的Zoom，更是引起了不少討論。對此，中央研究院專家在部落格分析Zoom的資安隱憂，當中不僅整理相關的報導，以及正反兩方的意見，並且給予使用 Zoom 這套軟體的資訊安全建議，而這篇貼文一出，也讓Zoom安全議題受到國內民眾大量關注，同時，他們也提及Zoom公布的政府版軟體，是已獲得美國政府部門採購與認證，相對較足以信任。

 2020年3月26日 

遭爆擅自與臉書分享用戶資料

科技網站Motherboard爆料，他們針對iOS版Zoom程式分析後，發現它暗中會傳送用戶資訊給臉書，由於Zoom的隱私政策中，只揭露了可能會蒐集用戶在臉書上的個人檔案資訊，但是，並未說明是否會傳送資訊予臉書，再次引發關注。隔日，Zoom稱是臉書SDK擅自收集不必要的裝置資料，並緊急移除該SDK。不過，這樣的事件還是引發各界抨擊，許多人表示，業者應該要為增添到應用中的每個SDK進行稽核，因為這是Zoom的App，也是Zoom的責任。

 2020年3月30日 

爆出Zoom在Mac電腦上可未經使用者同意安裝

網路安全公司VMRay的惡意程式研究人員Felix Seele，先是3月30日於Twitter發出質疑，詢問macOS版的Zoom程式，為何能夠不用點擊就完成安裝。

後續，他在4月2日公布完整研究，指出Zoom在未經使用者同意下的擅自安裝，是因為其安裝程序採用了預先安裝的腳本程式，不僅如此，在電腦上要執行預先安裝時的警告，卻是寫「此一執行將確定能否安裝程式」，這樣的描述，讓使用者會誤以為只是檢查硬體相容性。此外，明明是需要管理權限才能安裝的警訊，卻以這樣曖昧不明的方式呈現，也有誤導使用者的嫌疑，他認為，這樣的手法應該是macOS惡意程式才會有的行為。

對於這次事件，Zoom的回應要比之前快上許多，在隔日4月3日就修正，而這樣的回應速度讓Felix感到印象深刻，認為Zoom做得很好。

 2020年3月30日 

Mac版程式再爆爭議，授權存取攝影機及麥克風的作法有疑慮

專門研究macOS安全性的Patrick Wardle（網路暱稱為Objective-See），他從Felix Seele的發現找出其他問題，在他得知Mac版Zoom安裝程式可以調用AuthorizationExecuteWithPrivileges API來執行各種特權安裝任務後，他在30日於部落格上公布相關發現，說明蘋果其實已經不建議使用這種不安全的API，因為它不會驗證將要執行的binary，而這將導致權限升級漏洞。再者，他發現Zoom請求使用者給予該程式存取攝影機及麥克風的權限時，含有排除條款，這將允許惡意程式注入該程序。後續，Zoom在4月2日表示修復該漏洞。

 2020年3月30日 

多起隨意闖入Zoom會議的事件發生，引起FBI警告

隨著視訊會議系統的使用量爆增，趁機攻擊與干擾會議進行的亂象也日益嚴重。FBI針對所有視訊會議平臺的挾持行為發出警告，不過，他們舉出的案例都是與Zoom平臺有關。對此狀況，FBI也出面提供指南，包括舉行的會議或課程不要設為公開，並建議落實會議主持人管理等措施。

 2020年3月31日 

又被踢爆全程加密只限文字傳輸，卻不包含視訊與音訊

國外媒體The Intercept爆料，指出Zoom宣稱採用全程加密技術，然而，只有文字傳輸真正使用普遍認知的全程加密技術，在視訊與音訊的傳輸，只透過TCP與UDP進行加密，Zoom也坦承有此事，外界則批評有誤導之嫌。

 2020年4月1日 

美國NASA與SpaceX率先表示禁用Zoom

根據國外媒體路透社報導，Elon Musk創辦的火箭公司SpaceX將禁止內部使用視訊會議軟體Zoom，該公司認為Zoom帶有顯著的隱私及安全問題。同時，該報導還指出，美國國家航空暨太空總署（NASA）發言人Stephanie Schierholz也表示，已禁止員工使用Zoom。而根據路透社掌握的文件內容，SpaceX是在3月28日發出的電子郵件中，告知員工即日起就不能使用Zoom。

 2020年4月1日 

針對接連不斷爆出的資安事件，Zoom CEO出面道歉！

在Zoom官方部落格上，Eric S. Yuan出面為安全漏洞道歉，承諾即刻停止新功能的開發，並將所有資源致力於安全及隱私方面的改善。針對外界的質疑與揭露，他指出，因為平臺上爆增的用戶數，已超越Zoom原本的規畫，他並說明目前的改善現況，包括修補了與臉書分享使用者資訊的隱私問題，提供避免外人闖入會議的建議，同時，他們還更新了有關資料蒐集的隱私政策。此外，他們也移除了與會者專注度的追蹤功能，以及緊急修補了Mac及Windows版的Zoom程式安全漏洞。另外，對於平臺上有關加密的能力，他們也發表專文說明，當中也坦承他們並沒有真正做到普遍認知的全程加密。

 2020年4月3日 

加拿大多倫多大學市民實驗室公布新研究報告，再度揭露Zoom重大安全問題

加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員公布對Zoom的資安研究，他們指出3大發現，例如，在資安白皮書所聲稱的安全性，與實際有相當程度的落差，甚至有誇大之嫌，他們表示，根據Zoom在白皮書中的描述，Zoom能使用256位元的AES演算法於應用程式層，來加密所有呈現的內容，實際卻只使用單一的AES-128金鑰，而且是採用多數專家不建議的ECB模式。同時，他們還發現會議金鑰偶爾會傳到中國伺服器的問題，並指出擔心Zoom可能有受制於中國政府要求的風險。

在此一研究報告出爐後，Zoom創辦人袁征很快發表回應，表明他們通常是以用戶位置來決定所使用的資料中心，但今年2月，他們為了因應突增的用戶需求，緊急在中國增加資料中心的容量，匆忙中，不慎把兩個位於中國的資料中心，加入了備用白名單，才會造成美國服務連往中國伺服器的情況，該問題現已修正。至於加密的議題，袁征表示，這是Zoom在儘量滿足最多使用案例並兼顧加密而採行的設計，他們將廣納外界意見，並與第三方專家討論，以找出合適的解決方案。

後續，在4月13日，Citizen Lab又在其官方網站發出中文版的補充說明，特別指出先前研究報告中，可能被外界容易誤解的部分，同時，他們也說明在4月8日新揭露的Zoom等候室功能漏洞，並說明該漏洞Zoom已在7日完成修補。

 2020年4月4日 

美國紐約學校將禁用Zoom

在教育領域，美國紐約學校首先傳出將要禁用。根據美國媒體CNN的報導，指出紐約市教育局發言人Danielle Filson正指示當地學校，盡快停止使用Zoom。

 2020年4月6日 

臺灣中華電信宣布停售原先配合的服務方案

隨著近期Zoom資安漏洞與安全疑慮不斷被報導，臺灣中華電信宣布先停售已提供多年的Zoom視訊會議服務方案，待資安疑慮釐清。而在中華電信Dr.APP的企業服務網站上，原本提供的Zoom服務方案頁面也已撤下。

 2020年4月6日 

澳洲國防機構指示人員禁用Zoom

在美國NASA之外，澳洲的國防單位也傳出禁用的消息。根據澳洲媒體The Australian的報導，當地禁止國防人員使用Zoom來進行視訊會議，主要是擔心國外敵人或惡意人士可能透過Zoom的安全漏洞，發動攻擊或進行滲透。

 2020年4月7日 

臺灣政府下令公務機關不應用Zoom，同時教育部也發函學校禁用

行政院資通安全處發出公告，指出臺灣已在2019年正式實施資通安全管理法，對於各公務機關及特定非公務機關而言，應依規定落實資通安全應辦事項，並應以國內產品及共同供應契約所列品項為優先，各機關若因業務需求召開視訊會議，不應使用具有資通安全疑慮的產品，例如Zoom。在此同時，教育部也宣布也將發函國內各校禁用，但是這在教育界引起相當大的爭議，包括禁用命令太晚，以及教育單位禁用的必要性。

 2020年4月7日 

暗網中有352個Zoom帳號被駭客公布

視訊會議Zoom的資安事件持續延燒，又有媒體根據以色列網路情報公司Sixgill透露的消息，指出在4月1日的暗網上，就有352個Zoom帳號被公布，包括會議ID、密碼、Email，以及主持人金鑰與名字，當中並有少數是企業帳號。

 2020年4月8日 

在宣布以90天強化產品資安後，Zoom大動作公布其新的資安管理策略

為了要強化產品安全以及資安措施，Zoom宣布聘請前臉書安全長Alex Stamos擔任外部資安顧問，並且還將找來VMware、Netflix、Uber等多家公司的CISO，來擔任Zoom資安長會議及顧問委員會成員。

 2020年4月8日 

Google與德外交部禁止內部使用Zoom

科技大廠Google也禁止員工用Zoom，根據美國媒體BuzzFeed News報導，該公司在一周前就通知員工。同日，德國媒體Handelsblatt也報導該國外交部通知他們的員工，禁止在公家裝置使用Zoom。

 2020年4月9日 

美參議院與星國教育部跟進

禁用Zoom的消息不斷傳出，根據美國媒體Cnet報導，該國參議院也要求所有的議員不要使用Zoom。同日，新加坡教育部也因收到Zoom Bombing事件的報告後，宣布教師暫停使用Zoom。

資料來源：iThome整理，2020年4月

 相關報導  為何Zoom資安受到各界質疑？

對於近期Zoom爆出的許多隱私與安全漏洞，儘管Zoom已經承諾要在90天內強化資安，當中一些漏洞也已及時修補，不過，到底Zoom有哪些安全問題是真正值得注意呢？

Zoom在加密上的作法，最受質疑

在這一連串的事件中，最引發關注的資安疑慮，就是在Zoom平臺加密方面所被揭露的安全問題，外界認為其該公司宣稱的產品安全能力，與實際不符，有誤導與欺騙的問題存在，還有加密作法不夠周延，以及其他地區的會議金鑰會由中國資料中心傳遞等問題，都讓各界對於Zoom抱持不信任的態度，因為這意味著，Zoom過去在本身的安全設計與心態上，可能有很大的問題。

例如，有一家以調查新聞見長的媒體The Intercept在3月31日爆料，指出Zoom號稱採用的全程加密技術（End-to-end encryption，E2EE），然而，Zoom雖在文字傳輸上確實做到此事，但視訊與音訊的傳輸，卻只是透過TCP與UDP進行加密。對此問題，Zoom坦承此事，除了解釋他們不會建立視訊相關解密機制，也沒有要刻意誤導使用者，因為在用戶端到伺服器端，以及伺服器端到用戶端，即使中間透過Zoom伺服器，分別還是有加密保護。

但這還是讓外界質疑，將讓使用者誤以為該平臺所有會議內容的傳遞，都是採全程加密，明顯有誤導之嫌。

另一事件，也與Zoom的加密有關。根據加拿大多倫多大學市民實驗室（Citizen Lab）在4月3日的研究報告，再度指出類似的問題。他們的研究人員發現，Zoom的說明文件雖然宣稱其應用程式是使用AES-256加密法來保護通訊內容，但經測試發現，所有與會者都是使用同一把AES-128金鑰，來加解密視訊與音訊內容，並是在ECB模式下。此外，雖然該白皮書也有提及AES-128的加密，但指的只有是應用在手機SIP註冊認證及VoIP上。

這次的發現，除了再抓包Zoom可能誇大其服務的安全性，還有一個嚴重的問題被突顯出，那就是ECB模式加密。他們的研究人員指出，這是不建議使用的加密模式，因為不夠安全，在加密後仍有很大的明文特徵會被保留（關於ECB模式缺點請參閱維基百科），這也顯示該公司在加密方面，並沒有經過良好的設計與實作。

對此，就連被譽為資安大師的密碼學專家Bruce Schneier也提出看法，他覺得使用AES-128沒問題，但用ECB模式並不可取，表示該公司無人了解密碼學。

Citizen Lab還發現，在有些案例中，即便Zoom的與會者皆位在北美，卻有由中國伺服器產生及遞送金鑰的狀況。

同時，該報告也闡述了相關風險，說明他們雖然沒有證據指出中國或其他國家當局取得Zoom會議的加密金鑰，但也說明，如果透過位於中國的伺服器來傳遞金鑰，在中國的體制下，將能要求Zoom揭露這些金鑰，這對不同國家的用戶來說，都是很大的風險。因此，他們也明確表示，如有高機密和隱私的通訊需求，並不建議使用Zoom。

加拿大多倫多大學市民實驗室（Citizen Lab）在4月3日公布的Zoom的通訊安全分析中，除了指出該平臺使用非業界標準的加密法來加密線上會議等問題，同時也針對Zoom這家設在美國矽谷，卻有著中國背景的公司，指出相關隱憂。他們提到，在Zoom最新的文件中，顯示該公司在中國有三間公司，共約700名員工，負責Zoom程式的開發，以及指出該公司建立的73個伺服器中，有68個位於美國，其他5個位於中國。

曾在個人端電腦進行奇怪行為，讓人覺得別有居心

事實上，在之前發現的資安問題與漏洞中，我們也可以看到Zoom在欺騙行為上，已有前例。例如，在去年7月資安研究員Jonathan Leitschuh揭露Zoom的安全漏洞時，就指出Mac版的Zoom程式會在電腦中安裝了一個本地主機網頁伺服器（Localhost），如果用戶曾經安裝過Zoom，之後又解除安裝，而該Localhost將讓用戶瀏覽網頁時，可將用戶端程式重新安裝回電腦上。

還有，今年4月網路安全公司VMRay研究人員Felix Seele的發現中，也指出Mac版Zoom安裝程式的問題，例如，在安裝前跳出的訊息是：「此一執行將確定能否安裝程式」，但它並不只是檢查硬體的相容性，還會執行完整的安裝。此外，在需要管理權限才能安裝的情形下，Zoom跳出的訊息是「系統需要你的權限進行變更」，Felix Seele認為這樣的文字描述，給用戶的感覺是作業系統的需求，但應該是Zoom需要你的密碼才能更新既有程式。

對於這些資安事件，資安大師Bruce Schneier也提出看法，他將Zoom的問題分成3大類型，包括：不良的隱私慣例、不良的安全慣例，以及不良的使用者設置。當中指出，該公司其實收集了很多用戶資料，並且藉由這些資料來牟利，並認為Zoom的安全決策相當糟糕，他相信還有更多軟體漏洞問題要改善。

無論如何，綜觀上述這些Zoom的安全問題，直到被揭露後才修正，都讓使用者對於Zoom的安全充滿疑慮。如同現代人會重視食安問題一樣，黑心食品會遭拒買，而產品資安上的信任其實也是同一道理。

對於資安，除了重視產品資安事件應變，資訊揭露透明，這次事件也突顯出，業者在安全設計上的草率，以及一些看似投機取巧、欺騙的手法，在事情曝光之後，不論是有意或無意，需要花更多成本來挽回使用者信心，都讓公司品牌形象大受傷害。

被譽為資安大師的密碼學專家Bruce Schneier對近期Zoom的安全問題提出他的觀察，簡單來說，他將問題分為三大類：第一，不良的隱私慣例（bad privace practices）；第二，不良的安全慣例（bad security practices）；以及第三，不良的用戶配置（bad user configurations）。當中他針對指出Zoom在隱私政策的新舊版上的問題，並引用Doc Searls對Zoom在隱私上見解，同時他對於Zoom使用ECB模式加密，認為該公司竟沒人懂密碼學。

公務機關為何火速禁用Zoom？行政院資安處透露其考量

行政院資安處處長簡宏偉　攝影／洪政偉

在這次Zoom的安全風暴下，全球接連傳出有政府單位或企業要禁用該軟體的消息。例如，在3月底就傳出美國SpaceX、NASA禁用Zoom的消息，原因是該軟體有顯著的私隱及安全問題，而Google也同樣是禁用，他們認為該工具未符合內部使用程式的安全標準。而後續，又還有其他國家單位陸續禁用Zoom的消息。

在臺灣，我國行政院資安處在4月8日也已宣布，遠端視訊應以國產品及共同供應契約品項為優先，不應用Zoom，而教育部也通函各校禁用，推薦其他6款替代產品。

只是，這次禁用事件在國內教育界引起不小的反彈聲浪，像是臺大教授葉丙成的言論也在這段期間成為焦點，其中多數人對禁用會表反對意見，主要是因為很多學校的老師與學生，都開始學習用Zoom線上教學，還有線上教學沒有機密內容。

對於這樣的爭議，我們也詢問行政院資安處處長簡宏偉，他提到禁用決策時的關鍵考量。關於這次決定，他們其實已經評估一陣子，隨著情資越來越多，也是到了讓他們覺得不能不處理的地步，認為該產品已具有高風險，因此要大家不應該用。

同時，他並從國家對於法治的觀念來談安全問題，在普遍民主法治國家中，國家是依法行政，法律會告訴政府什麼能做及什麼不能做，但對於有些國家而言，法治是協助政府，因此站在行政院資安處的立場，應該是要謹慎。

對於教育單位，簡宏偉表示，在資安管理法通過後，之前未在資安防護或規範的對象，多數對於資安法並不清楚，像是他們發現很多學校在談個資與隱私，但較少談資安。他並舉例，像是去年發生學校郵件伺服器被入侵，遭長期監控多年的狀況，也有老師受政府委託做政策研究等情形，他藉此說明，教育領域同樣需要資安防護，而從政府與社會的層次來看，也都是整體資安防護的一環。

 相關報導  為何Zoom資安受到各界質疑？

受武漢肺炎疫情影響，各級學校在近兩個月內陸續展開遠距教學演練，臺北市更有高中、大學因停課緣故大規模使用線上視訊服務。然而，就在師生日益熟悉線上視訊工具時，行政院在4月7號發函各公務機關禁用Zoom，教育部也隨之以資安隱私顧慮為由，無預警要求各校禁用Zoom來視訊教學，並同步移除教育雲線上教學包中推薦的Zoom使用說明文件，對各級學校產生不同程度的衝擊。

部分國高中小學遠距視訊授課需緊急重學

對國高中小學來說，大多學校為了學生的學習便利性，僅主推一種視訊教學平臺，讓學生只需要學會一種市面上的視訊服務即可，而Zoom因其免費易用的特性，加上教育部大力推廣，採用者不在少數。但在政策發布後，部分學校的遠距教學將被迫緊急重新適應。

比如說，臺北市19所國高中小學大規模使用的線上教學平臺酷課雲，原先就是內建了Zoom、Adobe Connect兩款視訊服務，臺北市教育局近期更因應爆量的直播授課需求，緊急短租了150間Zoom線上教室的授權，但教育部禁用Zoom之後，酷課雲的Zoom教室也只能停用，目前只剩90間Adobe Connect線上教室。

儘管臺北市教育局資訊教育科科長陳秉熙認為，停用Zoom對酷課雲的影響不大，「因為150間Zoom只有短租兩個月，而且停課高中原先使用教室就是Adobe Connect。」但是，陳秉熙也坦言，因Zoom禁用緣故，北市教育局也正在研擬新的直播授課方法，要改讓各校彈性選擇市面上免費的視訊服務，比如Microsoft Teams、Cisco WebEx、Google Meet等，再由老師將直播教室的連結代碼貼到課程區，讓學生連出平臺上課。「這個好處是，老師不用再受限於酷課雲預設的直播軟體，我們也不用擔心直播教室數不夠的問題。」

不過，陳秉熙也說，由於其他廠牌的視訊服務沒有內建在酷課雲，老師無法從酷課雲後臺直接看到學生的出席狀態，因此，需要在課堂中落實點名，來作為學生出席的依據。同時，老師也可以結合酷課雲派送作業、上課素材、試題來跟學生互動，藉此從後臺觀察學生的學習狀況，學校也可以進一步從後臺了解全校師生的互動情形。

而對於臺北市以外的國高中小學來說，大多是自由選用不同廠商的視訊服務，再搭配教育部教育雲的教學資源來直播上課。

比如新北市的樹林高中，選擇在校內推動Google Meet，「因為我們老師可以用自己的校務行政系統帳號，登入新北市親師生平臺，裡面可以直接使用Google的應用程式。」樹林高中教務處主任吳錦琇表示，由於校內主推Google Meet，所以受政策影響較小。

然而，另一所位於基隆的中山高中就沒這麼幸運，「教育部宣導要線上教學的時候，我們找人來校內上課，老師也去縣市政府研習，所以大家對於Zoom的使用方法比較熟悉。」中山高中教務主任許釋霞表示，為了讓師生盡快上手，學校官網也放上Zoom的使用教學，最近遠距教學演練也多用Zoom進行。教育部臨時宣布停用後，除了要再找合適的平臺，還要找時間重新演練，「而且教育部認為Zoom有資安問題，那其他選擇就真的沒問題嗎？我們也在觀望。」

大專院校也受波及，政大上百場視訊會議急換平臺

不只中小學受影響，禁用Zoom的政策也波及不少大專院校。比如政大電算中心教學研究組組長張鋤非就苦笑：「對我們的影響可大了。」政大近一個月，已經熟悉用Zoom進行直播教學演練，不只教學、各類會議，甚至連4月14號開始的招生面試，都預定以Zoom作為視訊溝通工具，「已經納入排程的課程或會議就有100多場，將全部受到影響。」

Zoom停用後，由於政大師生均有G Suite帳號，因此Google Meet成為接下來的視訊服務首選。另外，政大的WM5及Moodle教學平臺中，原先就有採購線上視訊服務JoinNet，同一時間所有會議的人數上限為200人。因此，電算中心也正在跟JoinNet申請擴充同時上線人數，預計增加到1,200人，「這是考量到網頁伺服器及網路頻寬的可負載上限，來讓師生使用。」張鋤非說。

相較之下，臺大採用了訊連的線上視訊服務U會議，以及簡報直播軟體U簡報，訊連提供臺大老師每人一組企業版的帳號，兩款服務分別可支持100人及500人連線，讓老師進行長時間不間斷的會議與教學；淡江大學則是一開始就選擇採用Microsoft Teams，作為視訊教學工具，來克服與中港澳學生直播教學時，所面臨的中國連外網路被封鎖問題。由於一開始選擇的線上視訊服務並非Zoom，兩所大學較無受到此次政策的影響。

對於停用Zoom的政策，教育部網路及資通安全科科長王東琪說明，教育部是基於保護學童隱私安全的考量，為了避免個資或隱私外洩，才建議各級學校全面停用Zoom，而且，教育雲也提供多種視訊服務的教學指引給老師參考，如Microsoft Teams、Google Meet等，「只是現在是陣痛期，本來熟悉Zoom的老師，需要時間去熟悉其他工具。」

禁用Zoom政策為何受到教師反彈？

臺大電機系教授、同時為教育軟體新創幫你優 （BoniO）執行長葉丙成，擁有長期推動中小學數位教學的經驗，也在臉書上發文，表達對教育部禁用Zoom決策的態度。（圖片來源／葉丙成）

教育部以資安隱私顧慮為由，無預警要求各校禁用Zoom來視訊教學，引起許多老師反彈。臺大電機系教授、教育軟體新創幫你優 （BoniO）執行長葉丙成，同時也是實驗教育機構Bts無界塾的創辦人，就以自身推動中小學數位教學的經驗，在臉書上說明推動遠距教學的難處。

葉丙成舉例，他4月9日在臺大授課時，曾在課程開始5小時前，才臨時宣布改用其他線上視訊服務，但5小時後，學生都成功上線上課，這是因為，「身為大學教授，我們面對的是數位能力甚至比我們更優秀的大學生。」然而，相較於中小學教育的處境，情況有很大的不同。中小學的數位教育現場，老師不只要先學會，還要負責教會全班的學生跟家長，「光是帳號密碼問題就會搞到你要瘋掉。」更別提中小學城鄉之間、不同世代老師之間的數位落差，「這是沒跟中小學教育現場接觸過的人難以想像的。」

在這個處境下，葉丙成表示，剛開始推動遠距直播教學時，就已經耗費許多老師的心力，好不容易師生學會用Zoom之後，又因教育部的Zoom禁令，不僅受影響的師生要為此重學一套新的線上視訊服務，本來就不願改變教學方法的老師，也會有更多理由來推託、變得更難說服。

「如果說服不了老師再動起來，臺灣接下來一個月內萬一停課，會有很多學校沒有能力再進行視訊教課。」

因此，葉丙成認為，禁用Zoom的問題在於，決策者是否衡量中小學教師提前部署所做的努力與困境？禁用Zoom之後，若數位教育推動者難以說服老師再動起來，萬一疫情急轉直下導致停課，「最糟的是學生可能學習停擺不只半個月，而是一個月以上，這是真正讓我們擔心的問題。」

 相關報導  為何Zoom資安受到各界質疑？

自今年3月下旬開始，各家遠距視訊會議用戶大增，但Zoom的資安疑慮也浮上檯面，甚至新的隱私問題、資安漏洞連續被爆出，這也使得各國政府與企業下達禁用令，到底Zoom在產品資安上出了什麼樣的問題，使得大家對它失去信任？

Techcrunch上周報導，Google可能正在跟進蘋果，開發Apple Card這類的智慧簽帳卡。

根據Techcrunch拿到的圖片，這張卡是由Google和特定銀行聯合發行綁定支票帳戶，可供以卡片在實體商店刷卡，或以手機藍牙支付與線上消費。此外消費者還可以Google Pay App檢視消費紀錄、帳戶餘額、或是鎖住帳戶。另一消息來源也證實這項卡片的開發。

報導指出，Google合作的金融機構，包括花旗銀行及史丹佛聯邦信用合作社（Stanford Federal Credit Union）等。Google可能負責建立金融交易的底層基礎架構，並開發智慧化用戶介面。

去年11月華爾街日報及路透社首先報導，Google和花旗銀行及史丹佛聯邦信用合作社合作「智慧支票」（Smart Checking）服務，讓使用者透過Google Pay App執行數位化支票業務。目前Google Pay僅提供線上支付及用戶轉帳給親友，若消息屬實，將擴大Google Pay的應用範圍。

和Apple Card一樣，發行信用卡或金融卡，有助於蘋果及Google這類科技公司跨足金融業，開闢新的營收來源。Google將能收取簽帳卡手續費。此外，媒體分析，如果Google證明此類智慧簽帳卡可以刺激銷售，消費品牌將會大買Google廣告。依照Google過去的前科，它甚至能分析用戶消費紀錄後，將資訊分享或賣給廣告主或廣告商以餵送精準廣告。

不過Google並未對此評論。Google僅透露的確正在和這兩家機構探究，以Google Pay提供智慧支票帳戶事宜，並指未來幾個月內，會再分享進一步資訊。

Google 2013年底也曾發行名為Wallet的簽帳卡，不過2016年就收攤了。Techcrunch報導，Google經常把舊服務改名，或關掉後以新瓶舊酒再出發，可能這次也是如此。

根據國外媒體報導，澳洲政府要求澳洲競爭與消費者委員會（Australian Competition and Consumer Commission，ACCC）打造新規定，以強制要求Google及臉書等分享新聞內容的數位平臺，要支付授權費給當地媒體。

其實早在去年12月，澳洲政府就曾要求ACCC開發一套規定，以作為數位平臺及當地媒體之間協商的範本，不過該規定是志願性的，並未有強制效果，但在澳洲政府發現業者的進展太慢，再加上武漢肺炎（COVID-19）疫情，嚴重影響了媒體的廣告業務與生存能力，因而臨時改弦易轍，直接要ACCC打造一個強制性的法規，首個草案將於7月出爐。

志願性與強制性法規的內容相近，都是要求數位媒體在使用媒體內容時，應該要付費，也應在因變更演算法而影響新聞排序之前通知媒體，在搜尋結果中必須以原始新聞來源為優先，同時與媒體業者分享資料。最大的不同在於，強制性的法規包含了罰則。

澳洲通訊部長Paul Fletcher向媒體表示，武漢肺炎疫情加劇了媒體產業的財務困境，整個產業的廣告營收大幅下降，因此希望這些利用媒體內容，來建立及維護使用者忠誠度的數位平臺，能夠改善與媒體之間的關係。

根據估計，澳洲已有數十家地方媒體因為疫情而暫停出版，主要是因為缺乏廣告業務，也有大型媒體要求員工減薪或離職，上周澳洲政府已祭出接近1億美元的媒體產業紓困方案。

武漢肺炎（COVID-19）衝擊各大小企業及非營利組織。開發隱私瀏覽器Tor的Project Tor團隊也於上周表示，將裁減三分之一的工程人員。

Project Tor表示，如同其他非營利組織和小型機構，他們也遭疫情重創，被迫資遣了核心團隊的13名開發人員，得由剩下22人繼續開發Tor瀏覽器及其他Tor軟體。Project Tor說，各國政府在抗疫期間紛紛擴張政治控管權力，也讓線上隱私的防護更為迫切。為了確保用戶隱私、安全和不受審查，持續取得和分享必要的資訊，Project Tor團隊只得做出這番困難決定。

Project Tor的營運主要仰賴全球用戶捐款，但受到疫情影響，許多捐贈者不是忙著防疫，就是自己也放無薪假或失業，而無力再支持。

這次疫情可能也是國家監控擴張的分水嶺。為防範假訊息、假新聞散布，各國政府在社交網路上合作下，擴大取締和武漢肺炎疫情、療法或藥物的言論。另一方面，為防病毒擴大感染、加速通報，多國使用手機監控技術掌控民眾行動，而這些法令並沒有落日條款，隱私權人士擔心線上隱私將一去不復返。

科技部落格OneZero觀察全球的媒體報導，指出至少有28個國家藉由加強對人民的監控來控制疫情，包括使用智慧型手機的位置資料分析人潮流動，或是追蹤被隔離者的位置。

Cloudflare上周發布了Is BGP Safe Yet網站，可用來測試使用者的網路服務供應商（ISP），是否部署了資源公鑰基礎架構（Resource Public Key Infrastructure，RPKI），以預防BGP外洩或挾持。

全球網路是由不同的自治系統（Autonomous System）所組成，它們之間利用邊界閘道協定（Border Gateway Protocol，BGP）來互連，BGP負責打造網路地圖，規畫最快的路徑，但當AS錯誤宣告BGP時，就可能造成BGP外洩或挾持的狀況，將流量導至錯誤的目的地，而造成網路大塞車或誤繞的結果。

為了改善BGP的安全性，業界提出了資源基礎架構（RPKI），它又被稱為資源認證，可被部署在AS上，用來驗證AS與BGP路由宣告之間的關聯，可擋下無效的路由宣告。

因此，Is BGP Safe Yet就是用來驗證各大ISP業者或其它大型網路，是否正確部署了RPKI，根據Cloudflare的觀察，目前大約有50%的網路部署RPKI。

Cloudflare所使用的驗證方法很簡單，它們讓Is BGP Safe Yet企圖載入兩個頁面，一個具備有效的前綴（prefix），另一個則採用無效前綴，倘若使用者的ISP業者實施了RPKI，那麼就只能載入第一個頁面，而無法載入第二個，若兩個都能載入，即代表ISP接納了無效路由，並未採用RPKI。

例如當測試中華電信的HiNet服務時，即出現HiNet並未安全導入BGP的訊息。Cloudflare也鼓勵使用者透過Twitter分享該訊息，以督促業者部署RPKI來保障全球網路的健全。

武漢肺炎（COVID-19）疫情激勵雲端類股，路透社上周引述消息人士報導，美國雲端廠商Rackspace投資人近日申請公開股票發行（IPO）案，計畫募資超過100億美元。

消息人士指出，持有Rackspack的Apollo Global Management，已經祕密向美國證管會（SEC）遞交IPO申請案。去年多家雲端業者，包括CDN公司Fastly、視訊業者Zoom、雲端端點安全商Crowdstrike、雲端監控平臺Datadog、遠距協同平臺Slack等風光IPO。這也讓Apollo Global Management受到鼓舞，他們準備等武漢肺炎疫情造成的市場不確定性平息後，讓Rackspace上市。不過並未設定確切日期。

成立於1998年的Rackspace原是主機代管商，曾經在紐約證交所掛牌上市。不過2016年這家業者因公有雲競爭者太多，被Apollo Global Management收購下市。目前Rackspace除了提供公、私有雲，也和AWS、微軟Azure、Google Cloud Platform、OpenStack等業者合作，提供多雲和混合雲服務給企業客戶。路透社引述Allied Market Research數據，去年Rackspace營收估計27億美元，到2027年上看90億。

這並不是第一次傳出Rackspace要以IPO重出江湖。2018年3月彭博新聞就曾報導，這家私募基金業者的Rackspace IPO計畫。去年是雲端公司IPO旺季，CNBC報導，Zoom、Slack、Crowdstrike及Datadog去年IPO募資，皆創下超過百億美元的佳績。

中央流行疫情指揮中心今天揭露了臺灣第一起武漢肺炎艦隊感染的疫情結果，為了防止疫情散播，中央流行疫情指揮中心也緊急公布了目前已知確診者24人在下船後的移動路徑。4月15到17日發現確診之間，三個艦隊上近700人在全臺北、中、南移動。

指揮官陳時中指出，目前先發出幾次提醒簡訊，除了通知當事人，也針對接觸者發過一波，最近更在針對在確診者去過地點可能接觸的對象，也發了一次，多達21萬人，提醒這些人要提高自主健康管理的意識，一有症狀要趕快通報來採取後續的行動。先前收過熱門景點細胞廣播示警簡訊的人，不少公司，如金控都以更高規格地緊急要求他們居家辦公，這次受影響的人數恐怕也不少。

指揮中心也公布了目前確診人數的縣市名單，台北市1例、新北市1例、基隆市1例、桃園市2例、 台中市3例、雲林縣1例、嘉義市1例、台南市1例、 高雄市9例、屏東縣4例。

目前這些確診者已知去過的地方，政府已經整理成一份Google Map上的足跡記錄，提供給各界比對和民眾參考之用。這些地點，指揮中心詳細列出了確診者出沒這些地點的時間區間，甚至有些確切的店家名稱或是地址都有。敦睦艦隊確診者足跡連結如下。
https://www.google.com/maps/d/u/0/viewer?mid=1sUZjqrx-c7mnLDGjb0GUhI_Xf4...

國防部表示，目前也緊急針對艦隊其他接觸過確診者的高風險人員，正在調查這些人的足跡，會再逐漸提供給疫情調查單位。

在武漢肺炎（COVID-19）的襲擊之下，全球有許多人只能透過網路工作、學習，現在連結婚都能透過網路完成。紐約州長Andrew Cuomo周末宣布，他已簽署了一紙行政命令，允許紐約人自遠端取得結婚許可，並允許公證官自遠端主持婚禮，以讓新人取得結婚證書。

要在紐約州結婚，新人除了必須親至婚姻局取得結婚許可證（Marriage License ），也必須到婚姻局舉行結婚儀式，才拿得到結婚證書，不過，因為疫情的關係，紐約婚姻局的所有辦公室從3月20日就關閉至今，而且也不確定何時才能再度開張。

考量到疫情的發展讓許多新人無法結婚，使得紐約州長Andrew Cuomo發布行政命令，暫時取消要新人親至婚姻局的規定。

紐約州現為美國疫情最嚴重的地區，在全美超過76萬的感染案例中，紐約州即占了24.7萬，在全美逾4萬的死亡案例中，紐約州也占了1.8萬，也讓紐約州成為全美祭出最多防疫措施的州政府。

國土安全部旗下的網路安全及基礎設施安全局（Cybersecurity and Infrastructure Security Agency，CISA）在上周警告，它們接獲許多政府機關及企業的報告，顯示已有許多駭客開採了位於Pulse Secure VPN設備上的CVE-2019-11510漏洞，除了呼籲未修補的使用者應儘速處理，也提醒已完成修補的組織，最好檢查駭客是否曾在修補前，就攻陷該漏洞並取得憑證。

去年4月被揭露的CVE-2019-11510，是個任意檔案讀取漏洞，駭客只要傳送一個特製的URI（uniform resource identifier），就能自遠端存取VPN伺服器上的任何檔案，包括所有用戶的明文憑證，也可能在每個VPN客戶端執行任意命令。

去年10月美國國家安全局就曾警告，已有駭客針對該漏洞展開攻擊，英國國家網路安全中心，也幾乎是同時發布了警告訊息，今年1月則有駭客透過這項漏洞，來安裝REvil勒索軟體。

除了駭客對CVE-2019-11510的興趣不減之外，CISA也觀察到駭客的許多攻擊手法。例如當駭客取得了使用者的憑證之後，即可藉由Pulse Secure VPN裝置來入侵企業網路，但他們是利用Tor架構或虛擬私有伺服器來存取，以避免被察覺，目的是為了在企業網路上植入長駐後門、蒐集文件，或是執行勒索軟體等。

此外，CISA還發現，在組織修補該漏洞的數個月之後，駭客還在使用那些遭竊的憑證。

CISA除了督促各大組織儘快修補該漏洞之外，也釋出了自家開發的工具，以協助網路管理員查詢內部網路，是否有任何可能遭到開採的指標，同時建議就算已經修補了，也應該變更所有使用者的憑證。

由Mozilla主導開發的程式語言Rust，釋出了最新的2019社群大調查，顯示Rust在2018年有所成長，但是成長的力道較前一年小，從開發者使用Rust的狀況，可以略知一二，2019年每日使用Rust的比例為27.6％，而2018年則為25％，成長2.6％，不過前一年卻有7.5％的成長；2019年每周使用Rust的受訪者為40％，較前一年略降。

全職使用Rust的受訪者，最多將Rust應用於開發網頁應用程式後端，其他應用依序為分散式系統、嵌入式裝置、IT、網路程式開發、前端應用程式以及安全性應用等。而主要應用Rust的專案，有43％規模落在1千行與1萬行程式碼間，第2名的專案規模則是1萬行與10萬行間，官方提到，Rust中大型專案的比例持續成長，從2016年的8.9％，到2017年16％、2018年23%，而2019年達到34％。

問券調查要求受訪者對自己的Rust技能評分1到10分，7為人數高峰，大部分的人集中在3到8之間，而這與使用Rust的時間有關，依據統計，使用Rust在1到3個月內，約可掌握3成技能，而6到12個月則能掌握5成技能，平均掌握7成以上技能的開發者，使用Rust的年資可能需要超過3年。

這次官方收到了接近4千份的回應，其中有82.8%的受訪者正在使用Rust，而過去曾使用以及從未使用Rust的受訪者，則分別佔7.1與10.1%，與2018年比較起來，受訪者使用Rust的比例上升了接近8％。使用Rust的受訪者，最大的使用原因來自於任職的公司使用Rust，其他原因則有Rust剛好有他們需要的函式庫，或是覺得IDE好用，也有人是因為覺得Rust簡單好學而來用。

官方對那些未曾或是曾經使用Rust的受訪者進行了調查，除了最大的原因是任職的公司沒有使用之外，第2名原因是他們覺得Rust太難太複雜不好學，接下來幾個原因則是與Rust成熟度有關，包括Rust沒有他們需要的函式庫、工具，或是覺得IDE不夠好。

圖片來源／Rust Team

官方提到，很明顯的開發者要不要用Rust，直接受企業採用數量左右。問卷調查問了受訪者，什麼樣的資源可以降低採用障礙，絕大多數受訪者一致認為，官方最應該提供更好的訓練教程以及文件，再來才是更好的函式庫、IDE整合，並且加速編譯時間。

有不少受訪者對學習Rust給出了具體的意見，有人認為，官方應該盡可能讓Rust的學習曲線平滑，因為對小企業來說，學習Rust要在四到六周才能有生產力，有點稍嫌太久，另外，也有人建議官方，應該要給更多的範例，並且提供Crates使用建議。

Rust陡峭的學習曲線，是阻礙不少開發者開始學習使用Rust的原因之一，根據官方調查，37％的人認為學用Rust，約在1個月的時候會開始感覺有生產力，70％的人都在學用Rust一年內，會感覺到有生產力。不過，也有高達21％的人，感到無法具備滿意的生產力，這個族群高峰落在1到3個月的學習時間，其中也不少學用了一年，甚至二到三年，官方提到，這些人將是往後他們發展學習材料的重點對象。

圖片來源／Rust Team

另一個Rust受挑戰的點便是函式庫的成熟度，有受訪者認為穩定的函式庫不夠多，而官方也對社群專案使用函式庫的情況做了調查，專案使用的相依項目完全為1.0以上版本，比例只有0.8％，大多數為穩定版的只有6.7％，僅部分相依項目穩定版的專案則高達66.4％，還有21.4％的受訪者不了解自己專案相依項目的版本狀況。

在平臺與環境的選擇上，34.9％的Rust開發者都使用VSCode開發Rust程式，第2與第3名IDE則為Vim和Intellij，都有約20％的使用率。開發的應用程式主要鎖定Linux平臺，有36.9％，第2則是Windows的16.3％，macOS和WebAssembly則各占14％。