iThome

Amazon Web Services（AWS）近日公布了旗下DDoS防護服務AWS Shield在今年第一季的威脅報告，指出該服務在第一季擋下了流量高達2.3 Tbps的DDoS攻擊，而這是前所未見的。

根據AWS Shield的統計，今年第一季他們緩解了逾31萬次的分散式阻斷服務（DDoS）攻擊，比去年同期增加了22.8%，比上一季增加10%，不只是攻擊次數增加了，攻擊流量也增加了，去年同期最大的攻擊流量為0.8 Tbps，上一季為0.6 Tbps，但今年第一季卻出現2.3 Tbps的攻擊流量。

AWS Shield指出，流量龐大的DDoS攻擊通常源自UDP（User Datagram Protocol ，用戶資料包協定）反射攻擊，包括DNS反射、NTP反射，或SSDP反射等，它們全都利用了網路上不需要執行握手驗證的大量UDP，針對受害系統傳送封包，進而造成受害系統超載而無法運作。

而他們在第一季所緩解的龐大攻擊，則是屬於CLDAP（Connection-less Lightweight Directory Access Protocol）反射放大攻擊，利用UDP port 389傳送請求，由於回應的封包通常大於請求封包，差異可能達到50倍，因而形成放大效果，企圖癱瘓受害系統。

AWS Shield表示，2.3 Tbps的攻擊流量出現在今年2月，比AWS上曾經見過的最大攻擊流量還多了44%，而且維繫了3天。

這很可能締造了全球DDoS攻擊流量的新紀錄，同為DDoS防禦服務供應商的Netscout Arbor在2018年3月，曾經擋下流量達1.7Tbps的反射放大攻擊，在此之前的紀錄保持人則是Github，該平台在2018年的2月遭到1.3Tbps流量的DDoS攻擊。

不過，龐大流量的DDoS攻擊畢竟還是少數，AWS Shield的統計顯示，該季第99個百分位數攻擊事件的流量只有43 Gbps。

新聞

Alphabet暨Google執行長Sundar Pichai本周公布了種族平權計畫，承諾在2025年之前，內部領導階層的多元化將提高30%，同時也會準備1.75億美元的基金，來支持黑人企業家、創業家與開發人員。

Pichai說，過去幾周的種族抗議活動迫使全球重新思考，黑人在這幾代以來所經歷的結構性與系統性種族主義，而他得到的唯一事實是，系統性的種族主義已滲透到生活的各方面，從與執法人員的互動、取得房子與資本、醫療保健、教育到工作場所，因此，Google想把這一刻轉化成持久且有意義的變化，在內部替Google的黑人及少數族群建立平等地位，對外則是讓自己的產品與專案在黑人需要時能夠有所幫助。

在對內的平等議題上，Pichai承諾將會提拔更多的黑人及少數族群擔任高階主管，目標是在2025年前增加30%；也將更加注重黑人或少數族群的招聘與升遷；同時努力建立一個可讓所有員工都有歸屬感的氛圍與環境；打造一系列的反種族主義教育計畫，並訓練全球員工；將進一步支持黑人及少數族群的心理/生理健康及福址。

在產品的開發上，Google已經成立一個產品工作小組，專注於創造在必要時可協助黑人使用者的產品及專案；並將協助打造更多的經濟機會，準備提供1.75億美元以上的資金，用以支援黑人企業家、創業家及開發人員。

其中的5,000萬美元將用來支持黑人社群的小型企業，1億美元則用來支持由黑人主導的創投、新創及組織，1,500萬美元用來協助黑人培養工作技能，另也準備提撥1,000萬美元以上的資金來改善黑人社群在開發人員生態體系中的教育、設備與機會的存取能力。

Google也發表了鎖定黑人創辦人的新創公司加速器，準備參與黑人新創的A輪投資，也將投入300萬美元以縮小計算機教育上的種族差距，並將捐款給各個推動種族正義的組織。

新聞

官方在部落格更新了Go泛型（Generics）目前的開發狀態，除了持續對泛型設計草案進行修改之外，官方也開發了一個類型檢查器，這個程式可以按泛型草案設計，解析使用泛型的Go程式碼，並回報相關的類型錯誤。

泛型是Go社群中不少成員一直要求的功能，在今年4月官方釋出的社群大調查，其中有79％的受訪者認為，Go的痛點在於缺乏泛型這個關鍵功能。而Go要不要有泛型這個功能，早在幾年前就開始討論，2018年官方甚至啟動草稿設計發想，把泛型作為示範提案，丟出來供大家討論。

由於官方認為泛型雖然會為Go帶來許多靈活性，但同時也會讓Go變得複雜許多，因此對於泛型的設計持謹慎的態度，不停地進行調整。官方提到，他們最新發布的設計草案，最大的改變是放棄契約設計，原因是契約和介面類型之間的差異讓開發者困惑，因此官方消除了其中的差異，讓設計更簡單易懂，現在類型參數受介面類型限制，而介面類型包含類型列表，在之前的設計草案，類型列表則是屬於契約的功能。

而為了讓設計草案更佳完善，官方發布了轉換工具，讓開發者能以當前泛型設計草案，進行類型檢查並且執行程式碼，這項工具會將泛型程式碼轉換成一般Go程式碼，官方提到，雖然這個轉換程式有其限制，但是希望透過這個工具，讓開發者更加認識泛型，另外，官方提到，將來當泛型功能被正式接受之後，其實際的實作將會與現在有所不同。

開發者可以在Playground特別版本試用這個工具，該Playground與一般的Playground相同，只是多支援泛型，另外，開發者也可以自己建置該工具，相關程式碼可在Go主要儲存庫的分支中找到。

透過釋出泛型設計草案以及轉換工具，官方希望社群能夠感受泛型功能，對當前的泛型設計提供看法，官方也一再提醒，儘管社群不少人都認為Go需要泛型，但究竟在哪些方面上，真的需要使用泛型，官方希望可以透過討論讓這個問題更清晰明確。

而之後Go泛型功能的發展，要視社群回饋的狀態，官方提到，當設計草案普遍受社群接受，且不需要進行重大更改，那下一步就會進到正式的語言更改提案，最快Go 1.17就會加入泛型，該版本會在2021年8月發布，不過這僅是以最理想的狀態推測，一旦過程中需要討論與修改，那就會需要更久的時間。

新聞

高通（Qualcomm）所發布的RB5機器人平臺，可以讓開發者建置具5G連線功能的機器人，並且具裝置上機器學習、複雜運算以及智慧感知等能力。高通提到，RB5機器人平臺可支援下一代消費型、工業型、國防型和專業型等低功耗人工智慧機器人或無人機的開發。

該平臺使用特殊設計的晶片，其搭載的QRB5165處理器，是高通專為機器人應用量身定做，其強大的異構計算架構設計，結合Hexagon張量加速器，支援第5代高通人工智慧引擎，可以提供15兆次運算（TOPS），高效能地處理複雜的人工智慧和深度學習工作負載。

RB5平臺的異構計算架構，結合使用多種處理單元，包括以Snapdragon 865 CPU為基礎的8核高通Kryo CPU，以及Adreno GPU，並搭載多個數位訊號處理器和影像處理器，另外，其採用專門的電腦視覺硬體模組EVA，目的是要在最佳效能下，支援僅搭載小型電池的機器人運作。

EVA是一個影像分析引擎，可為高階電腦視覺應用程式提供硬體加速並減少延遲，在機器人功耗降低的時候，還能進行即時圖像處理決策，釋放DSP、GPU和CPU資源給其他關鍵人工智慧應用程式使用。高通提到，RB5機器人平臺的晶片組是為電腦視覺設計，因此能高效地處理4K和8K的HDR影片以及200萬畫素圖片，並最多支援7個攝影鏡頭。

在連線能力上，RB5機器人平臺具支援4G和5G的模組，結合機器人技術與智慧系統，應用最新的5G連線。RB5機器人平臺以綜合開發套件推出，可減少機器人開發時間與複雜度，開發套件內容包括內建QRB5165處理器的機器人開發版，其符合96Boards開放硬體規格，支援廣泛的夾層板擴充，目前RB5平臺支援Ubuntu和Robot Operating System（ROS）等Linux發布版，並且預整合了各種攝影機、感測器、連接裝置的驅動程式。

新聞

受益於居家辦公需求的視訊平臺安全性受到放大檢視。安全研究人員最近揭露，思科視訊會議WebEx Meetings Windows桌機版應用程式存在漏洞，可能讓駭客取得驗證用的符記、用戶名稱，進而存取視訊會議內容及密碼。而預設自動登入WebEx將提升資訊外洩風險。思科已經將漏洞修補完成。

編號CVE-2020-3347的漏洞是由安全廠商TrustWave研究人員Martin Rakhmanov於4月發現，影響WebEx Meetings Windows 桌機版App 40.4.12.8版。

漏洞出在WebEx Meetings Windows版用戶端程式包含的資訊外洩所致。WebEx Meetings app內有多個對應於Windows 記憶體的檔案（稱為sections檔），卻未設定防止其他Windows用戶讀寫的防護。其中一個sections檔包含一些追蹤資訊，包括用戶登入的電子郵件帳號及主持會議的URL，攻擊人士一旦登入機器就可以讀取。另一方面，WebEx Meetings 啟動會議時，這個檔還會包含WebExAccess Token（驗證符號），讓他人可冒充使用者存取WebEx帳號。如果WebEx app設定（WebEx預設的）自動登入，則這些資訊就會讓登入PC的攻擊者全數取得。

研究人員也示範了他設計的概念驗證（POC）攻擊程式，如何在WebEx啟動會議時讀取這些資訊，並成功從另一臺機器、不同IP位置上控制受害者的WebEx帳號，不但能看到所有會議、會議密碼以及所有獲邀的與會者，也能讀取／編輯Meetings及下載會議錄影。

思科也在本周發出安全公告並釋出最新版本的WebEx Meetings Desktop App for Windows 40.6.0，也呼籲用戶儘速升級。思科表示尚未發現有任何使用此一漏洞的惡意行為。

新聞

日前打造Hey訂閱電子郵件程式的開發商Basecamp在Twitter上抱怨，蘋果以未提供程式內訂閱功能而拒絕Hey程式的更新，使得Basecamp提出申訴，結果蘋果堅持該程式違反了App Store準則而不願放行，微軟總裁Brad Smith則認為，監管機關應該要針對這些行動程式市集展開反壟斷調查。

TechCrunch為此專訪了負責全球行銷的蘋果資深副總裁Phil Schiller，Schiller說，App Store的規定並未因Basecamp的抗議而有所改變，Basecamp得以透過許多方法讓Hey程式符合規定，蘋果樂見Basecamp選擇其中一種。

TechCrunch與The Verge都公布了蘋果寄給Basecamp的回應，App Store的程式審核團隊表示，Hey標榜是個電子郵件程式，但當使用者下載該程式時，卻無法使用，除非他們連到Basecamp網站並購買授權，才能回頭使用Hey程式，這違反了App Store準則中，要求程式在解鎖功能時，必須透過程式內購買機制的規定。

儘管該規定是有例外的，但只限於符合「Reader」類別的程式，可Hey並不是。所謂的Reader程式可允許使用者存取先前已經購買或訂閱的服務，像是雜誌、報紙、書籍、影片、音樂或雲端儲存等，例如Netflix。

此外，蘋果也在信件中提出了建議，以協助Hey符合規定，首先即是讓Hey的新用戶可透過程式內購買機制訂閱服務，或者若堅持不肯嵌入程式內購買，也可讓Hey支援其它的電子郵件服務，允許使用者存取其它的郵件服務帳號，在這樣的作法下，開發商依舊可在網站上提供電子郵件訂閱服務，但App Store上的Hey就是個單純的郵件客戶端，使用者不必額外付款就能使用。

其實這是開發人員與蘋果之間長久以來存在的爭議，因為只要透過程式內購買機制，蘋果就能拆分15%~30%的訂閱或購買費用。音樂串流龍頭Spotify去年向歐盟提出控訴（https://www.ithome.com.tw/news/129325），指稱蘋果透過分潤機制來排擠競爭對手，蘋果也不甘示弱地提出反擊，聲稱Spotify只有極少數的用戶比例遭到蘋果抽稅。

歐盟已基於Spotify的投訴，在本周宣布將針對蘋果App Store與Apple Pay展開反壟斷的正式調查。

另一方面，微軟總裁Brad Smith在接受Politico的專訪時表示，比起20年前，這些行動程式市集已經建立了更高的門檻，它們提出愈來愈多的要求來跨越門檻，有時是高昂的費用。現在已是時候來討論行動程式市集的性質、規定、價格及費用是否符合反壟斷法令了。雖然Smith泛指市場上的行動程式市集，並未直接點名蘋果或Google，但目標顯而易見。

新聞

三個月前宣布開發全球最強大量子電腦的製造業大廠Honeywell於昨（18）日宣布，這座量子電腦如期上線，並將開放外部客戶使用。

Honeywell多年前也是大型主機供應商，但1980年代將這個業務賣掉，十多年前並悄悄在柯羅拉多州及明尼蘇達州成立了約120人的團隊，投入量子電腦研發，今年三月也宣布投資Zapata Computing及Cambridge Quantum Computing等合作開發量子演算法及軟體。Honey的量子電腦採用量子感光耦合裝置（Quantum Charge Coupled Device，QCCD）離子阱（Trapped Ion）架構，現有的H0系統量子體積達64，是對手（IBM）的兩倍。

Honeywell量子方案部門總裁 Tony Uttley說，這麼強大的運算力是使用完全相同且相連的「高品質」量子位元，以及精準控制獲致極低錯誤率的成果。和IBM研發的53個、甚至Google的72個量子位元的作法不同，Honeywell系統僅使用6個量子位元。Uttley指出，該公司更著重高品質量子位元，如果能將量子運作的錯誤率降到極低，則每加一個量子位元，就能擴大量子體積。今年Honeywell指出其系統的量子閘保真度，達到現有技術最高的99.997 %。

同時Honeywell也正在打造運算威力更大的量子運算系統。

Honeywell也宣布其量子電腦開放外部客戶存取。客戶可透過微軟的Azure Quantum存取其服務。目前已有摩根大通（J.P. Morgan Chase）等企業試用。至於這家金融巨人使用Honeywell服務的用途為何，Uttley並未說明，只說金融業的量子電腦應用很多元，包括詐欺偵測及為交易策略導入人工智慧（AI）等。

D-Wave、IBM和AWS也都推出了商用化的量子電腦服務，開放企業和研究機構使用。

新聞

英國政府甫於今年5月5日於懷特島（Isle of Wight）測試自家打造的NHSX疫情追蹤程式，但因成效不佳，在本周宣布將轉為開發基於Google與蘋果所釋出暴露通知API的新解決方案，不過新程式可能要到今年冬天才會問世。

根據當地媒體的報導，已安裝NHSX程式的5.5萬名懷特島民眾已收到移除該程式的訊息，NHSX被棄用的主因是它無法解決與iPhone的相容性問題，其次則是暴露通知API將有更好的隱私保護。例如NHSX程式在iPhone上紀錄使用者接觸史的準確性只有4%，而Android手機則有75%，反觀基於暴露通知API的行動程式，不論在Android或iPhone上的接觸史準確度都高達99%。

因此，英國政府宣布，下一階段的疫情追蹤將改採暴露通知API框架，並將整合他們從NHSX程式所得到的成果。

蘋果與Google是在5月20日正式釋出暴露通知API（Exposure Notification API），並開始於Android及iOS作業系統中支援該API，幾乎完全解決手機的相容性問題，而瑞士則成為全球第一個大規模採用此一API的國家。

暴露通知API是一個去中心化的接觸追蹤技術，透過藍牙與附近的手機產生連結，並存放彼此的訊號，當出現武漢肺炎（COVID-19）確診者時，衛生機構可在病患的同意下，存取其手機上的藍牙紀錄，並透過行動程式通知曾與該病患近距離接觸的使用者。

然而，暴露通知API目前仍有不盡完善之處，例如它的距離計算有問題，在某些情況下，它無法分辨使用者之間的距離是1米或是3米。

英國政府表示，經過現場的實際測試之後，他們才知道自家打造的程式與採用Google/Apple框架各自存在的問題，而這也是其它國家所面臨的挑戰，在許多時候只有在大規模部署時才能發現問題。主導NHSX程式開發的英國創新部部長Lord Bethell則說，現在疫情追蹤程式並非英國政府的首要之務，因此可能會延至冬天才發表。

新聞

Chrome瀏覽器占記憶體為人所知，尤其是在Windows上。這個問題可望不久後能解決，方法是來自微軟。

Microsoft Edge首席產品經理Kim Denny指出，他們的目標是在Windows及其他平台上提供效能最佳的瀏覽器，若瀏覽器使用太多記憶體將導致整合系統度變慢。Windows 10 May 2020 Update (2004)上一項名為SegmentHeap的功能，現在也支援Win32應用程式，可讓這類應用程式減少記憶體的耗用，包括Google Chrome。

微軟指出，根據微軟的內部測試，跑2004版Windows機器上，以Chromium-based Edge來上網，最多可減少27%的記憶體耗用，進而提升整台機器的效能。基於同樣核心的Google Chrome也應該能雨露均霑。

根據Chromium的工程師指出，Chromium也必須注意記憶體占用，從目前Chrome實驗Segment Heap的數據判斷，瀏覽器和網路服務工具等程序或可省去數百MB，而且在多核CPU的機器上節省效益愈高。

不過對Google來說，這需要Chrome轉到Windows 10.0.19041.0 (2004) SDK開發。2004版因出現和眾多驅動程式不相容造成藍色死亡螢幕、Fresh Start功能不見或是Google Chrome用戶被重覆登出網站等問題，而讓許多用戶決定暫緩更新。

新聞

Google本周釋出了支援Chrome瀏覽器的新擴充程式Link to Text Fragment，可用來建立文章特定段落的超連結。因此，未來使用者要分享文章的特定段落時，就可直接使用此一超連結產生器。

在Chrome瀏覽器上安裝了Link to Text Fragment之後，瀏覽網路文章並看到想分享的段落時，只要將它圈選並按下右鍵，就可看到「複製所選文字連結」（Link to Text Fragment）的選項，點選後它就會自動產生一個連結並複製，使用者只要執行「貼上」就能把連結分享給自己的友人，它會在所分享的網頁上以黃色突顯使用者所圈選的段落。

此一擴充程式支援Chrome 80及之後的Chrome瀏覽器，以及其它採用Chromium專案的瀏覽器，只要相容的瀏覽器都能看到所圈選的文字段落，且Google已開源了該擴充程式。不過，Safari與Firefox尚未計畫要實現該功能。

新聞

微軟昨（18）日宣布收購大規模產業資料模型開發商ADRM，以提供企業在Azure上建立資料湖（Data Lake）的服務。雙方交易金額不詳。

ADRM是老牌資料模型供應商，成立三十年以來，已提供橫跨10種產業群集65種領域的資料模型，大型企業將其產品用於企業資料倉儲、次級分析或資料管理專案。而在此之前，ADRM和微軟早就在美、歐、澳、紐及中東等市場合作。

微軟Azure全球產業部門副總裁Ravi Krishnaswamy指出，產業資料模型可協助企業更全面了解及定義概念、改善及整合流程，是資料分析、資料品質、資料譜系（data lineage）、企業資料治理（data governance）專案的基礎，但許多企業的資料模型的建立，卻因零星建置導致資料系統無法整合，難以推動數位轉型。

被微軟收購後，ADRM將加入Microsoft Azure部門。ADRM指出透過結合ADRM的產業別資料模型，以及Azure的雲端儲存和運算服務，可協助企業建立智慧資料湖，資料湖不只是資料群集，更具備metadata可成為資料基礎，推動提升資料倉儲、次級分析、以及AI和機器學習。

微軟也指出，智慧資料湖的建立，將可使企業不同業務線（life of business）的資料更容易整合、協調，加速數位轉型，降低重大計畫的風險。

雲端業者紛紛希望吸引企業將資料整合到其平臺上。去年AWS也推出了Lake Formation，讓企業可將不同來源的資料搬到資料湖上。

新聞

臉書本周宣布，已分別在西班牙及美國提出訴訟，控告了建立可自動創造假讚及假評論服務的MGP25 Cyberint，以及濫用臉書登入機制以搜括用戶資訊的Mohammad Zaghar。

MGP25 Cyberint主要提供自動化軟體，以在Instagram上創造假冒的讚及評論，該服務模仿了合法Instagram程式與系統連結的方式，以閃避Instagram對抗假讚的限制。臉書表示，MGP25 Cyberint不但藉此獲利，且就算是在臉書已寄出警告信之後依然我行我素，只得告上法院。

根據臉書的說法，MGP25 Cyberint既違反臉書的使用條款，也侵犯了西班牙的資料庫保護法令。

至於Mohammad Zaghar則被指控利用Massroot8服務，來搜括臉書用戶的個人資料。Zaghar要求使用者在Massroot8站以臉書憑證登入，Zaghar卻利用一個電腦程式來控制機器人網路，偽裝成連結到Facebook行動程式的Android裝置，但實際上是為了搜括臉書用戶的個人資料。Zaghar同樣也被指控違反臉書的使用條款，同時侵犯了美國的《電腦詐欺及濫用法案》（Computer Fraud and Abuse Act，CFAA）。

新聞

GitHub開源原本內部使用的Super Linter，該工具可以避免把有問題的程式碼上傳到主分支中，也能幫助建立多種語言的程式碼最佳實踐，以自動化流程簡化程式碼審查，並建構程式碼布局和格式準則，讓開發者可以交付更乾淨穩定的程式碼。目前Super Linter支援Dockerfile、JavaScript、Markdown、Python3、TypeScript和Ruby等多種熱門程式語言，未來GitHub還會加入更多語言支援。

GitHub提到，要在新的儲存庫，設定適用不同類型程式碼的Linter耗時且繁瑣，開發者需要從眾多選項中，找出適用的工具和配置，而且通常需要一個以上的Linter，才能滿足多種語言的需求。Super Linter是由GitHub服務DevOps工程團隊開發，目的是要用來維持文件和程式碼的一致性，讓企業內的交流和協作更有效率。

而Super Linter其實就是一個打包成為Docker容器的原始碼儲存庫，可被GitHub Actions呼叫，而這樣便可讓在GitHub.com上的所有儲存庫，都能夠使用Super Linter，分析儲存庫中的程式碼。當開發者在儲存庫完成配置之後，在任何時候打開拉取請求，Super Linter便會開始檢查和整理程式碼，並透過Status API回傳結果。

當Super Linter更改任何程式碼或是偵測到錯誤，都會告知開發者位置以及內容，之後開發者便能回到分支修正錯誤，並重新推送拉取請求，而這時Super Linter便會再次驗證更新後的程式碼。開發者可以配置分支保護規則，確保在所有程式碼通過驗證後，才能進行合併動作。

官方表示，要在Super Linter中標準化規則並不容易，因為每個開發者編寫程式碼的方法，都是獨一無二的，因此Super Linter讓開發者可以自己配置適於儲存庫的Linter規則，不過當還沒有定義之前，官方便須提供預設標準，Ruby和Rails的規則集來自Ruby gem: rubocop-github，並遵循用於GitHub.com的規則和版本控制，而其他語言則預設選用coffeelint、yamllint、Markdownlint和pylint。開發者可以立刻開始使用Super Linter，並在需要的時候進行額外的客製化。

新聞

在2013年創立的街景地圖平臺Mapillary本周宣布已被臉書買下，Mapillary還宣布該平臺上的圖資原本就能免費供所有的非商業應用使用，但今後就算連商業應用都免費了。惟不管Mapillary或臉書都未公布此一交易的金額。

Mapillary是家瑞典公司，採用眾包的方式來建立街景地圖，鼓勵民眾貢獻從手機或相機所拍下的街景，涵蓋地址或標誌等，再利用電腦視覺技術將它們整合為3D地圖。秉著「取之於民，用之於民」的心態，Mapillary也開源了涵蓋190個國家的街景圖像。

值得一提的是，Mapillary創辦人暨執行長Jan Erik Solem早期所創辦，專門研發人臉辨識軟體的Polar Rose，也在2010年賣給了蘋果，Solem還因此在蘋果任職至2013年，之後才創辦Mapillary。

Solem表示，這些年來，臉書結合了機器學習、衛星影像及與地圖社群合作，打造了各種可改善地圖的工具與技術，這些地圖強化了諸如Marketplace等臉書產品，並支援全球人道組織所需的重要資料。整合Mapillary將能藉由街道等級的影像生產地圖資料，以建置更好的地圖。臉書則對外表示，此一收購將可支撐臉書未來的產品，包括擴增實境眼鏡與虛擬實境頭戴裝置等。

此外，過去Mapillary平臺上的所有影像都是開源的，允許任何非商業目的免費使用，但Solem宣布，即日起這些地圖影像也將供商業用途免費使用。Solem亦強調他們仍朝全球平臺邁進，鼓勵使用者繼續上傳街景照片至該站平臺。

新聞

在2018年，Mozilla和ProtonVPN合作，邀請一小群Firefox用戶開始實驗性質的VPN計畫，而現在這項計畫在經Beta測試之後，即將正式營運，該VPN服務將會移出Firefox Private Network品牌，正式命名為Mozilla VPN，用戶能以每月4.99美元的價格訂閱，可用於Windows、Android或iOS平臺最多5臺裝置上。

Mozilla為了要擴展用戶控制隱私和線上安全的能力，讓安全防護網不只在Firefox瀏覽器中，還可擴及到用戶的其他流量，因此決定開始提供VPN服務，讓用戶可以在咖啡館或是機場等公共場所，安心的使用網路，另外，由於過去Mozilla的主要收入，都來自搜尋服務供應商，但為了長期發展維持中立，Mozilla需要探索更多樣化的收入來源，而這項VPN服務便是其中一項計畫。

Mozilla在2019年的時候，擴大招募Beta測試人員，吸引來自全球200多個國家使用者，Mozilla在測試階段收到許多用戶的正向回饋，也確認了VPN服務的發展方向，並根據測試人員的回饋，調整了VPN功能，像是提供通道分割（Split Tunneling），讓部分網路流量可以不經過VPN。

Mozilla VPN訴求高度的隱私安全性，同樣遵守Mozilla產品資料隱私原則，會以公開透明的方式，使用和共享使用者的資訊，使用者也能夠控制自己的資料以及線上體驗，Mozilla僅會去識別化收集必要資料，當不再使用時便會移除，在設計上也會合理權衡安全性和方便性，並部署多層安全和最佳實踐，防禦惡意攻擊。Mozilla承諾，其VPN服務永遠不會追蹤使用者的瀏覽活動，並且避免使用第三方應用程式內資料分析平臺。

在數周後，Mozilla VPN便會結束測試開始正式營運，目前仍只有美國用戶可以使用，訂閱月費為4.99美元，支援Windows、Android和iOS平臺，可用於保護5臺裝置網路流量。美國之外的使用者，可以先加入等待名單，待服務開通後，Mozilla便會主動通知用戶。

新聞

微軟發布最新的Windows Insider預覽版本，其包含最新版本的WSL（Windows Subsystem for Linux）可執行GPU運算，也就是說，Linux二進位檔可以存取GPU資源，在WSL中執行機器學習或是人工智慧等資料科學應用。另外，微軟也加入了新命令來安裝和更新WSL，用戶可以更好地管理WSL核心版本。

社群最想要的WSL功能第一名，便是在WSL提供GPU支援，因此微軟在這次的更新，加入對Nvidia CUDA的支援，而這將可讓開發者在本地Windows機器上，進行CUDA程式的開發和實驗。

要在WSL 2中使用GPU，Nvidia提到，系統必須安裝支援WDDM模型的GPU應用程式，這些程式會由GPU硬體供應商提供，對應WDDM 2.9模型的Nvidia顯示卡驅動程式，開始在WSL中支援CUDA，用戶只要在Windows主機安裝驅動程式，WSL中的CUDA使用者模式驅動程式，便會自動映射進容器，並加入到載入程式搜尋路徑中。

微軟表示，WSL支援DirectML，讓使用者可跨AMD、英特爾和Nvidia的GPU，在Windows硬體上應用硬體加速，提升機器學習訓練工作負載速度。而要使用這個功能，用戶需要安裝最新的Windows Insider預覽版本和安裝WSL 2，並且使用最新Linux核心，安裝正確的GPU驅動程式。

微軟也不停地改善WSL的使用體驗，在這次更新中，添加了新的命令wsl.exe --install，來簡化WSL的安裝，使用者只會在Windows機器沒有WSL可選元件可用時，看到這個安裝命令選項，該命令可用來啟用WSL可選元件以及虛擬機器平臺可選元件。微軟計畫未來讓這個命令能夠自動化安裝WSL發布版。

目前WSL 2發布版所使用的Linux核心，是透過Microsoft Update更新，也就是說，Linux核心會像其他元件一樣自動保持最新狀態，用戶可以在Microsoft Update頁面中看到更新狀態。微軟也增加用戶控制WSL的Linux核心版本的能力，因此提供了新命令wsl.exe --update以及多個參數，wsl.exe --update可用來管理WSL 2核心更新，當用戶沒有指定其他參數，便會更新到最新版，當更新發生問題，也可以使用--rollback將核心還原到先前的版本。

新聞

由於網路代理Envoy部署越來越熱門，因此Google也釋出適用Envoy的Apigee橋接器，把Envoy相關服務，整合到了API管理平臺Apigee中。Envoy是一個高效能服務代理，其可插拔且能提升網路可觀察性的特性，已經被普遍的使用，同時現在也是雲端原生運算基金會（CNCF）旗下託管的專案之一。

而Apigee則是Google的API管理平臺，其提供用戶集中式的API發布、可見性、治理和使用分析等功能，並可將API開放給第三方使用，而現在搭配上適用Envoy的Apigee橋接器，用戶可以擴展Envoy的功能，將以Envoy為基礎的服務公開成為API。

Envoy本身支援過濾器長列表，這項功能是由C++開發的擴充所提供，適用Envoy的Apigee橋接器特別利用Envoy外部授權過濾器功能，將原本由Envoy管理的呼叫授權決策，委派給外部系統。其整體的運作方式是，客戶端應用程式存取由Envoy公開的API端點，Envoy會將安全上下文傳送給Apigee遠端服務，由Apigee遠端服務充當政策決策點，並建議Envoy允許或是拒絕存取API的請求。

Google提到，在高效能系統中，可能需要每秒處理數千個呼叫，為了要滿足這樣的需求，Envoy和Apigee遠端服務之間的溝通以gRPC為基礎，提高溝通效率和速度。只要使用標準Envoy代理的服務，就能夠應用Envoy的Apigee橋接器，包括Istio與Anthos服務網狀網路，都可在網狀網路中執行Apigee API管理政策。

新聞

以色列資安業者Check Point近日揭露了一起盜用英國牛津大學、Adobe及三星電子旗下資源所展開的網釣攻擊行動，駭客企圖透過這些合法的品牌來掩護攻擊行動，使得不管是企業的安全機制或是使用者皆難以察覺。

這波網釣攻擊經過了精心的策畫，企圖同時欺騙使用者及企業的安全機制。為了取信於使用者，郵件主旨寫上了受害者企業名稱，郵件內容則有受害者名字，並說使用者有一通未接的語音訊息，於郵件中嵌入一個「聆聽/下載」按鍵，以將使用者導至Office 365的憑證輸入畫面來聽取留言。

而為了逃避安全機制的偵測，駭客挾持了英國牛津大學的SMTP伺服器，其原始信件是來自NordVPN，但繞道牛津的SMTP與中繼伺服器，讓寄件人的網域顯示為牛津大學，閃過安全機制的第一道檢查。

而藏匿在按鍵中的連結，則是盜用了三星所使用的Adobe Campaign伺服器。Adobe Campaign是Adobe所推出的行銷服務，而三星在加拿大的分公司，因使用了該服務而設立了一個專用伺服器，此一行銷專用的伺服器是開放的，而Adobe Campaign則有一個重新導向功能，能夠將使用者導至特定的網址，以計算行銷效益。

於是，駭客潛入了三星的Adobe Campaign伺服器，竄改了三星舊有行銷活動的導向路徑，且並非直接導至網釣頁面，而是先導到已經被駭客危害的WordPress網站，以WordPress網站作為掩護及跳板，再將使用者送到網釣頁面。

由於不管是寄件人的郵件位址，或是郵件中所包含的連結，都是來自於看起來合法及可靠的來源，因而可躲過尋常的安全機制。

Check Point指出，除了牛津大學以外，駭客並非藉由安全漏洞入侵三星或Adobe，只是濫用了它們的資源，同時這也突顯了本地端的安全解決方案很容易就被繞過，建議企業最好採用雲端及電子郵件安全解決方案，此外，Adobe也已採取了必要行動，以預防駭客再藉由其服務發動類似的攻擊。

新聞

資安研究人員Adam Nichols在本周披露，他發現有79款的Netgear路由器都含有同一個允許駭客執行任意程式的安全漏洞，同時Nichols也公布了尋找該漏洞的工具，以及針對該漏洞的概念性驗證攻擊程式，然而，更令人驚訝的是，Zero Day Initiative（ZDI）早在今年1月就把同一個漏洞提報給Netgear，只是Netgear截至6月15日仍未修補。

最早發現該漏洞的是越南國營郵電集團的安全研究人員d4rkn3ss，d4rkn3ss把該漏洞交給了ZDI，ZDI則在今年1月8日通知Netgear，雖然有得到Netgear的回應，但Netgear一直拖延修補時程，使得ZDI決定在6月15日公布該漏洞。

根據ZDI的說明，此一漏洞存在於Netgear路由器的httpd服務中，問題出在把使用者輸入的資料複製到僅能容納固定長度的緩衝區前，未能正確驗證資料長度，造成緩衝區溢位，而讓駭客得以執行任意程式。ZDI只說該漏洞影響Netgear R6700系列的路由器。

另一方面，獨立發現該漏洞的Nichols認為，大量的SOHO裝置都採用同樣的軟體基礎，特別是這些裝置都是來自同一個製造商時，因此，倘若在一個裝置上發現了漏洞，很有可能同一製造商的其它裝置也會出現同樣的漏洞。Nichols證明了自己的理論是對的，因為他打造了一個自動偵測工具，在79款Netgear路由器的758個韌體上，都發現了同一個漏洞。

Nichols指出，與10~15年前相較，現代的商業軟體開發程序在品質上已大有改善，然而，這股趨勢並未蔓延到消費者端的網路裝置；路由器與數據機一直是個重要的安全邊界，因為它們能夠阻止駭客直接攻擊網路內的電腦，但這十多年來，低品質的程式碼及缺乏適當的測試，讓大量含有漏洞的裝置在網路上曝光。

由於Netgear尚未修補該漏洞，因此ZDI建議使用者可透過防火牆或白名單功能，規定只有受信賴的裝置才能存取httpd服務。

臺灣的武漢肺炎疫情控制有成，以確診病例而言，至今已連續66天沒有本土個案，越南本土零確診案例也持續超過兩個月，並且維持零死亡的紀錄，不過，全球確診病例卻已超過830萬，死亡病例已逼近45萬。在這段期間，許多企業不得不實施在家遠距辦公，已維持業務營運，當中所仰賴的正是過去推動的數位化成果。

以臺灣目前的狀況而言，從6月起已逐步解除相關的封鎖，甚至有不少公司在更早之前就恢復原本的作業模式，雖然還是有些企業仍維持AB班制、分區辦公的作法，但民眾對於疫情感到放心、安心，並且肯定國家的衛生醫療政策與作為，確保了我們的生命免於大規模傳染疾病的侵襲，這些都已成為公認的事實。

然而，很多專家仍提出警告，呼籲大家要保持社交距離，在期盼相關疫苗能夠盡早開發出來之餘，也希望能夠提升醫療檢測能量，而在企業環境當中，持續推動數位化的腳步，不應隨著疫情趨緩而慢下來，因為日常營運仍面臨各種挑戰，能夠度過這關或許只是一時僥倖，並不代表下一次相同或不同的問題出現時，我們還是可以履險如夷，相反地，應該持續推動數位轉型的工作，充分運用這個我們並不期盼的意外危機，在設法因應種種挑戰之餘，還是能有一些空間來順勢強化自身的經營體質。

前幾天，我們參加了iKala公司的九週年慶祝記者會，前Google臺灣董事總經理、現為iKala董事的簡立峰特別提到，臺灣如今防疫有成、民眾的高度自律，能夠做到穩定控管，也願意面對世界提供更多協助，但也有可能因為這樣的佳績，反而沒有把握到數位轉換（Digital Transformation）的機會，而成為我們未來發展上的隱憂。

他認為，全世界正因為疫情的蔓延而加速數位轉換，每個國家都在積極發展減緩疫情的方法，都有值得學習的地方，越南、泰國等國家因應疫情的成效，也十分亮眼，反觀臺灣，許多數位轉換的機會並沒有顯著發生。因此，他也呼籲企業應思考一個問題，那就是：「當下一波疫情或更大規模的挑戰，是否真的準備好了？」

值得注意的是，簡立峰是用「數位轉換」來稱呼這股趨勢，而不是用「數位轉型」。的確，轉換一詞所強調的面向，更聚焦在「數位化」，而這也接續了長期以來的IT架構變革。

回顧過去，步入資訊時代，我們一路走來，歷經了非常巨大的變化。例如，系統運行的方式，從基於單機系統而成的大型主機、個人電腦，發展出主從式架構、分散式架構；應用系統的型態，也從基於特定程式語言原生執行與受限於局部環境的狀態，而拓展出網站化、行動化、虛擬化、雲端化，而做到隨時隨地皆可執行；在資訊處理的重心上，則由聚焦於「運算」、「應用程式」，逐漸轉變為聚焦於「資料」；資訊系統的形式也趨於多元，擴展成實體、虛擬、雲端；IT資源的管理與調度指揮範圍，則是從私有、公用到混合環境。

而在這樣典範崛起與轉移的過程中，企業的業務運作也隨之取得了更多執行彈性，越來越不受限於單一、實體環境，但又能設法兼顧管理彈性與監管稽核的需求，而在可見的未來，企業IT系統逐步走向開放、創新的方向，已是不可逆的趨勢，而在過去發生的種種天災、人禍、瘟疫的變故之下，更是反覆證明了數位化的價值的確是實際存在的，而不是為了滿足人類盲目追求科技的慾望。

對於企業而言，不論數位化是一種轉型或是轉換，顯然這樣的過程仍將繼續進展下去，當然每踏出新的一步、讓自己置身在陌生的狀態下，雖然還是有很大的可能面臨失敗或失控的風險，但若衡量由此而生的機會，仍值得投入，以便讓自己具備更多應變能力，並且使經營體質變得更有韌性，因此，這樣超乎預期與計畫的機會既然來了，就該好好把握，不應一再錯過。

Tags:

數位轉換