Android 11的頂端下拉通知中心裡，將有專門的對話區塊，集中顯示用戶的對話訊息通知，並且還能夠將對話，轉成類似臉書Messenger的對話氣泡，漂浮在所有內容的最上層，另外，Android 11也加入了新的跨平臺登入機制，讓用戶更容易在不同平臺管理身份。

Google提到，他們設計Android 11的其中一個重要想法，便是以人為本，在這個特別重視社交的時代，他們重新構想用戶透過手機與朋友對話的方式，並且讓用戶可以在多個裝置上維護自己的身份，因此對話捷徑API（Conversation Shortcut API）以及身份服務函式庫（Identity Services Library），便是這個版本的重點工具。

螢幕頂端下拉通知中心的對話區塊，是建立在對話捷徑API之上的功能，其將收納各種社交應用程式的對話，用戶可以將些對話轉成對話氣泡，這些氣泡漂浮在螢幕的側邊，並會顯示在其他內容之上，點擊對話氣泡可以快速展開對話介面，開始與朋友的對話，而不需要中斷正在執行的操作，用戶可以一邊執行主要工作，但又能同時進行對話。

長點擊對話通知，便可以將對話標記成優先對話，優先對話將會以人物頭像顯示於鎖定螢幕上，並且在通知中心中置頂顯示，讓用戶能方便地追蹤重要要人物，而且也能設定成為勿打擾狀態。

臉書Messenger和推特也都對Android 11新的對話功能，做出相對應的調整。Android 11對話氣泡功能所使用的Bubbles API，是建立於通知API之上，相較於臉書Messenger之前以SYSTEM_ALERT_WINDOW來實作對話氣泡，更簡單且更容易維護，臉書提到，使用原生API，即便在全螢幕應用中，對話氣泡也能良好地運作，而且對話捷徑API能夠用來註冊、註銷和更新對話捷徑，使整個程序變得更直覺。

推特也支援了Android 11新的對話功能，推特的直接訊息將會顯示在通知中心裡的對話區塊，推特認為，分類對話訊息，將有助於人們進行即時的雙向對話。

另外，身份服務函式庫提供了新的密碼管理方法，讓用戶更容易註冊和登入。這項改進降低用戶和開發人員管理身份的複雜性，身份服務函式庫中包含了One Tap與Block Store功能，One Tap可以讓使用者在網頁和Android上，跨平臺一鍵登入，而Block Store則是基於令牌的登入機制，讓用戶能夠跨Android裝置保持登入狀態。

國研院半導體中心近期開發出一套AI系統晶片設計與驗證平臺，與多家國外企業簽訂矽智財（Silicon Intellectual Property，SIP，簡稱IP）授權，同時結合國研院內部的感測器技術、雲端運算平臺、軟硬體驗證平臺等環境，免費提供學術圈共享使用。若研究團隊透過平臺驗證了AI晶片的可行性，要實際下線製作，國研院也與台積電、聯發科合作，讓團隊只需支付原製作費用的十分之一，就能完整製造出具AI運算功能的晶片。換句話說，AI晶片設計、開發、驗證到製作，都能在這套平臺中實現。

領導基因定序晶片開發團隊的臺大電機系教授楊家驤表示，這個平臺最重要的價值，在於幫助學校取得部份關鍵矽智財，否則過去要設計、開發、到下線製作出一顆AI晶片，在缺乏IP的情況下，可能根本就做不到。

國研院半導體中心副研究員張育蒼也說明，要取得矽智財授權，需付出一定的成本費用，對單一學校的研究單位是一大負擔，就算學校有意願購買IP，國外的晶片設計大廠也不一定同意授權使用。這些原因，都讓國內學校過去在設計AI晶片時，只能停留在AI加速電路的開發，難以實際整合成一顆具有完整功能的晶片。

「相對於單一學校來說，國研院作為學術圈平臺提供者的角色，後面代表很多學校，所以更容易獲得廠商提供的資源。」張育蒼表示，對廠商來說，也是一項雙方互惠的合作，因為廠商也希望從學校開始鋪路，透過提供學生矽智財、甚至是前瞻技術，先讓這些人才在學生時期就熟悉自家產品，未來進入職場後就可能成為潛在客戶。

張育蒼也提到，由於當初簽訂的IP並不是商業授權，所以平臺無法提供商用，只提供學術單位申請使用，在晶片的製作數量上也有一定的侷限。而IP授權期限通常為1～3年，時間到了就要重新授權一次，或是隨著技術更新來置換成新的IP，「新的矽智財可能讓晶片執行速度更快、面積更小，或是支援更新的製程。」

國研院平臺可縮短AI晶片開發流程，目前已有基因定序晶片成功案例

國研院提供的AI系統晶片設計與驗證平臺，大致可分為三個環節，分別是AI晶片設計平臺、驗證環境以及下線製作。張育蒼表示，這套平臺能將原先需要2～3年的AI晶片開發時程，縮短到1年完成。

在AI晶片設計平臺方面，國研院先取得記憶體、處理器、匯流排連線控制器的IP授權，並將院內研發的影像、聲音感測器技術，以及周邊的類比電路、時脈產生器等元件，集合成一個預設好規格的元件組合。學術圈只要專注開發各自獨有的AI加速電路技術，再去選定記憶體大小、感測器類型，半導體中心就能根據研究團隊的需求，來進行微調、客製化整合。

圖左的藍色框框為國研院提供的AI晶片設計平臺，要透過預設好規格的元件組合，與學校開發的AI加速電路進行整合。

張育蒼指出，若沒有該平臺，研究團隊開發的AI加速電路，就無法結合其他元件，整合成一個具完整功能的晶片。以人臉辨識應用為例，需要一個前處理的電路，先擷取、處理影像並分析成二進位的訊號，再提供AI加速電路讀取，經過分析後的結果，也會需要後處理的電路來顯示。過去研究單位只開發AI加速電路，就只能在測試機臺上監看二進位的訊號，不具有實際應用的能力。

而且，平臺預設規格的元件組合，也能加快AI晶片的開發流程。張育蒼說明，若每一種元件都根據研究團隊的需求，選擇不同規格的元件再重新設計電路，比如記憶體就有DDR4、靜態、動態等多種選擇，「有時候光是重新整合一種元件，難度就比設計一個AI加速電路還高。」因此，國研院先提供預設好的模組，再根據團隊需求來客製化微調。不過，也因預設模組目前只提供影像、聲音感測器，若要團隊要分析其他的資料類型，如震動頻率等，平臺中暫無資源能提供。

而在AI晶片驗證環境方面，國研院則有晶片設計雲端運算平臺（EDA Cloud）、自駕驗證平臺、硬體仿真暨雛型品驗證等環境，能提供給團隊進行驗證測試，來加速模擬驗證的時間。

張育蒼說明，在模擬驗證時，除了進行純軟體的模擬驗證，也有運用FPGA來進行硬體仿真暨雛型品驗證，因為FPGA晶片可以重複使用，能根據不同演算法重新規劃成不同功能的硬體電路，「雖然它的耗電量大、速度慢、體積大，但很適合用來做中間驗證使用。」

但張育蒼也提醒，就算已經通過驗證，也不能保證最終下線製作出的成品一定會成功，還是有失敗風險。而國研院也已經與台積電、聯發科合作，讓研究團隊只需負擔原先製作費用的十分之一，就能實作出晶片。

張育蒼也透過一張圖，來說明完整個AI平臺使用流程。學校研究團隊若要使用這套平臺，需先進行申請，國研院審核通過後，則會與研究團隊討論AI晶片規格，協助將AI加速電路與平臺提供的元件進行整合。接下來，則會進入EDA Cloud邏輯合成、佈局繞線、再次驗證等流程，最後再下線製作成晶片。

目前，臺大、交大已經有研究團隊使用這套平臺，開發出基因定序資料分析處理晶片，分析速度能比GPU快上60倍，將人類全基因定序分析需花費的時間，從原先數天縮短至40分鐘，也已經在2020國際固態電路會議（International Solid-State Circuits Conference，ISSCC）中展示成果。其他正在與國研院合作的研究，還包括影像辨識、自動駕駛等類型的AI晶片開發。

PChome揭智慧化倉儲藍圖，要導AI優化倉儲配置

投入臺灣電商市場邁向第20個年頭的PChome，近期揭露下一步計畫，將著重內部流程的優化，特別是倉儲營運的調整，以提升出貨效率。

網路家庭執行長蔡凱文表示，PChome要做的不只是自動化倉儲，還要進一步打造智慧化倉儲。目前PChome在庫商品達200萬種。原先倉儲以庫存空間和商品類別，來規畫商品的存放位置，現在則要轉而以消費者的需求，來思考商品於倉儲內的配置方式。

PChome將利用資料庫過去20年來收集的訂單資料，進行資料分析工程，先從資料貼標開始，利用AI演算法，來預測消費者的消費行為，進而找出關聯性商品，也就是同筆訂單中常出現的商品組合，以進行倉儲配置的調整工程，將關聯性商品集中擺放。如此，PChome也將打破分類倉概念，把各倉儲調整為綜合倉的型態。更多內容

資安業者Fortinet被踢爆產品產地來自中國，政府清查中，Fortinet喊冤

立委林俊憲接到匿名檢舉，踢爆資安業者Fortinet具有中國背景，董事多為中國人，Fortinet曾在2019年，將中國製產品偽裝成美國製賣給美國軍方，遭美國司法部求償54.5萬美元。

林俊憲指出，交通部、機場、國防部、中科院、調查局及國安局等機敏單位皆有採購Fortinet產品，近6年政府採購Fortinet產品近5億元，還不包含專案採購部分。因為這類偽裝外資的中資公司很難察覺，而他也擔心，這類偽外資公司的產品採購，可能變成國家資安的破口。更多內容

臺科大特聘教授李漢銘接任國安會資安諮委

總統府公布新人事布局，曾擔任行政院科技顧問組副執行秘書的臺科大資工系特聘教授李漢銘，接下李德財的棒子，擔任國安會諮詢委員，負責擘畫臺灣未來資安戰略政策發展方向。更多內容

雲端應用與物聯網將是金融機構新挑戰

攝影_洪政偉

台新金控資訊長暨資安長孫一仕分享銀行資安轉型的策略思維，提醒金融機構重視雲端應用以及物聯網潛藏的資安風險。

孫一仕觀察，即便雲端運算是目前金融機構關注的科技焦點，希望藉由雲端運算，達到成本減降以及營運彈性目的。然而，伴隨而來的資安風險，也不可忽視。

像是美國大型銀行CapitalOn發生遭駭客盜取其存放在AWS雲端的資料，駭客不僅入侵Capital One的雲端資料庫，還駭進其他30幾家組織，甚至利用AWS運算能力來進行比特幣挖礦。這凸顯了金融業者在使用雲端運算服務時，對於雲端供應商必須要定期查核。

企業物聯網也是金融機構面臨的另一挑戰，例如在ATM旁邊放的攝影設備，會隨時把影像資料透過網路回傳到銀行總部，其中的傳輸過程，也有資安風險。更多內容

國泰金控轉型先練數位基礎功

面對整個外在環境改變，國泰金控正積極在做金融創新以及數位轉型。國泰金控總經理李長庚期待，組織最少要有10%的員工，具備數位思考的腦袋，能懂得用數位方法與科技，來對產品設計、服務的過程、與客戶的互動，以及所有專案設計，都能有數位的概念，理想值是組織內有20%員工，能具備數位思考力。更多內容

勒索軟體服務開始採用可躲避防毒偵測的RIPlace技術

資安業者Nyotron去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術，當時並未發現有任何勒索軟體採用了這項攻擊手法，不過，另一家資安業者Recorded Future最近發現，名為Thanos的勒索軟體服務，開始加入了這個先進攻擊手法。更多內容

微軟及亞馬遜將暫停銷售人臉辨識服務予警方

圖片來源_微軟

微軟及亞馬遜決定要禁止警察使用旗下人臉辨識服務，期限一年，期望美國國會在這一年，能夠制訂可規範臉辨技術的法規。更多內容

谷歌發展可自動從各類單據擷取結構化資料的AI模型

在ACL 2020中，Google提出一種可從各式單據擷取結構化資料的方法，而這與之前從純文字檔文件擷取資料的方法不同，新方法將單據可能出現的欄位類型納入考量，因此能良好地擷取單據上的內容。更多內容

微軟6月例行更新出包，多廠牌印表機失常

本月微軟Patch Tuesday引發包括HP、Ricoh、Canon等品牌的USB印表機驅動程式異常及連接埠消失的事件。問題出現在安裝Windows 10 1903、1909的KB4560960，以及Windows 10 2004的KB4557957版本更新的用戶電腦上。有用戶反映安裝更新版本後，發生印表機驅動程式不相容，必須移除更新。更多內容

微軟發布例外更新，修補Patch Tuesday造成USB印表機異常問題

微軟針對Windows 10 1803、1809、1903與1909釋出頻外選擇性更新（out of band optional update）程式，解決「特定」印表機安裝完Patch Tuesday的更新版後，無法列印的問題。更多內容

臉書公布Deepfake影片辨識大賽評審結果

擔心AI製造出的Deepfake影片煽動仇恨或淪為政治工具，去年臉書、微軟發起Deepfake 影片辨識技術挑戰賽，號召技術好手發展出能辨識高度造假影片的演算法。近期比賽成果顯示，參賽隊伍用既有影片資料訓練出來的辨識模型，仍無法對未知資料展現相同水準的判讀能力。更多內容

MongoDB 4.4釋出強化聚合查詢與分片功能

開源文件資料庫MongoDB 4.4版強化了聚合功能，提供一種類似Union的新功能，讓用戶可以從多個資料集混合資料到單一集合中，以達到更易深入探索和分析資料的目的，用戶可以定義自己的資料聚合表示式，使用新的運算子處理陣列和字串操作；該版本還增加了定義和修正分片鍵值功能，用戶可以透過在分片鍵值加上後綴，以擴展和修正資料分布。更多內容

Zoom應中國要求關閉特定帳號、中斷六四紀念活動

雲端視訊服務業者Zoom坦承曾關閉中國民運人士的帳號，理由是必須符合當地法律，此外他們也中途打斷或提前封鎖在平臺上舉行的六四紀念線上活動。更多內容

Twitter撤銷中國政府用來操縱訊息的逾2萬個帳號

Twitter二度掃蕩平臺上中國用來操縱訊息的假帳號，這些帳號發布的訊息主要與香港抗議事件、武漢肺炎以及逃亡的中國富豪郭文貴有關。更多內容

分析資料倉儲BigQuery提供表格層級存取控制

Google讓BigQuery使用者擁有更多的資料存取控制精細度選項，現在能以表格層級控制存取。更多內容

OpenAI研究人員運用人工智慧語言模型來生成圖片，他們以像素序列來訓練GPT-2語言模型，使語言模型能夠生成連續相關的圖像，研究人員提到，這項研究縮小了電腦視覺和語言理解技術間的差距，不過，因為訓練過程需要耗費大量的運算資源，且相關的演算法效能也不斷進步，影響了這項研究實際用於圖像生成的價值。

近期非監督式和自我監督學習技術，在語言處理上，都獲得極佳的成果，像是BERT、GPT-2、RoBERTa和T5等模型，在廣泛的語言任務上，都有出色的效能表現，不過，目前這些模型的應用都僅限於語言處理，在圖像分類上都還未有亮眼的成果。

研究人員提到，這些模型之所以在各種語言任務表現良好，其中一個重要原因，便是語言任務的實例，通常自然地出現在文字中，像是問題之後通常接著答案，或是有助於回答問題的文字，段落後通常會是摘要，或是有助於總結的文字，而相反地，像素序列中並不會明確包含所屬圖像的標籤。

而BERT和GPT-2這類的Transformer模型，都是無關領域的，也就是說，這些模型可以應用在任何形式的一維序列上，研究人員表示，近期也有相關的研究，證明規模足夠大的Transformer，在接受像素預測訓練，最終也可以生成可辨認的物體樣本。OpenAI研究人員在以長像素序列訓練GPT-2或稱為iGPT的模型，發現該模型似乎能夠理解二維圖像特徵，像是物體的外觀和類別，在沒有人工標籤的指引下，生成相關的圖像。

生成序列建模是一種非監督式學習演算法，由於所有資料類型都能以位元序列形式表達，因此可以直接將各種資料類型用在Transformer中，且不需要經過額外的處理工程。OpenAI研究人員便將用來訓練自然語言的GPT-2基礎架構，直接用於圖像生成上，以測試這種通用性。

不過，這需要經過大量的運算，才能在非監督的情況下，展現出良好地成果，研究人員分別以ImageNet，訓練了包含7,600萬、4億550萬與14億個參數的三個Transformer，模型分別為iGPT-S、iGPT-M以及iGPT-LＭ，並且還以ImageNet結合網路上的圖像，訓練了具68億參數的iGPT-XL。

由於長序列建模的計算成本非常大，因此研究人員以32x32、48x48和64x64低解析度進行訓練，雖然他們試圖使用更低的解析度，但研究顯示，在這些解析度以下，效能將會大幅降低。研究人員還創建了特殊的調色盤，不只能忠實的呈現顏色，而且序列長度能比標準的RGB調色盤短3倍。

研究顯示，圖像特徵品質會隨深度急劇增加，但在之後又會些微下降，研究人員表示，這可能是因為Transformer模型分兩階段執行而導致，在第一階段時，模型從周圍的上下文收集資訊，以建構基於上下文的圖像特徵，而在第二階段，模型會基於上下文的圖像特徵，來預測圖像中的下一個畫素。

研究人員提到，增加模型的規模和訓練的迭代次數，可以提高圖像品質，使用基準CIFAR-10、CIFAR-100和STL-10對結果進行評估，這些模型的表現比現存的所有監督式和非監督式演算法還要好。不過，這個方法仍有其限制，iGPT模型只能處理低解析度的圖像，而且會因為訓練資料而產生偏差，像是建立性別和角色關聯，產生男性科學家這樣的結果，另外，iGPT模型訓練需要非常大量的時間，使用一張Nvidia V100顯示卡來訓練iGPT-L，大約需要2,500天。

這項研究的主要目的，還是在於進行概念性驗證，研究人員表示，由於需要耗費大量的運算資源，而且現有方法的準確度也不斷進步，都是這項研究不會被實際用於電腦視覺應用中的原因，但是因為這種方法簡單且通用，在具有足夠運算能力的前提下，或許能改進其他領域學習特徵的效能。

Google開始在雲端服務預設啟用TLS 1.3，這項政策從Cloud CDN以及全球負載平衡服務開始，所有新加入與現有用戶，將會預設啟用TLS 1.3配置。

為了確保這項操作不會影響用戶，Google已經在搜尋、Gmail和YouTube等諸多Google服務，先行啟用TLS 1.3，並且收集Chrome應用TLS 1.3的狀況，Google提到，這些應用經驗，讓他們有足夠信心可在不影響用戶，且不需要用戶進行手動配置的情況下，在Google雲端啟用TLS 1.3。

TLS是傳輸層安全性協定，可讓網路的兩方進行安全通訊，而最新的TLS 1.3在2018年拍板定案，加入了許多重要的新功能，像是加密交握訊息功能，可確保憑證私密性，還提供可降低延遲的0-RTT（Zero Round Trip Time Resumption）技術，並且刪除了老舊不安全的加密演算法與金鑰交換方法，整體來說，TLS 1.3提供比TLS 1.2更好的效能以及更高的安全性，可以在網路壅塞、高延遲連接和低功耗裝置，提供更好的網路效能表現。

在2018年時，Chrome和Firefox就開始支援TLS 1.3，現在大多數的客戶端，包括Android、iOS、Edge瀏覽器、BoringSSL、OpenSSL以及libcurl等應用程式也都已經支援TLS 1.3。支援TLS 1.3可提升網際網路應用的效能，最近影片串流服務Netflix，也在部落格分享他們應用TLS 1.3的經驗，不只能降低影片播放延遲，還能改善媒體重緩衝的效能。

Google會開始向越來越多雲端用戶部署TLS 1.3，逐漸提高支援的比例，Google也已經開始開發下一代協定，像是即將完成的TCP BBRv2、IETF QUIC以及HTTP/3，也將會應用到雲端中，他們還計畫要支援TLS 1.3 0-RTT以及憑證壓縮功能。

2017年宣布2020年底終止支援Flash後，Adobe上周（6/18）再度提醒用戶，2020年12月31日是Flash 播放器（Flash Player）產品生命周期截止（End of Life，EoL）日，之後Adobe就不再提供下載及安全更新，也提醒用戶在EoL前移除。

Flash是早年網頁媒體播放的主流格式，但Flash因為網路安全、效能問題頻傳，主要瀏覽器包括Google Chrome、Mozilla Firefox、蘋果Safari及微軟IE/Edge，都相繼終止支援或不再預設執行包括Flash在內的外掛程式，而改整合已經成熟的HTML5、WebGL、WebAssembly等標準技術，促使Adobe 於2017年6月，連同蘋果、Google、微軟、Mozilla及臉書宣布Flash的「死期」。Adobe指出，有三年的預告期，相信已經給了開發人員、設計人員、企業和其他人士足夠的時間，把現有Flash內容轉到必要的新標準。

從現在到12月31日之前，Adobe仍然會提供Flash安全更新、維護和OS及瀏覽器的相容性、或新增功能。但是到了EOL當天，Adobe就會從網站上移除Flash Player下載頁，也會開始封鎖Flash Player執行Flash內容。此外，那天之後Adobe也不會再釋出安全修補程式或功能更新。

Adobe警告過了12月31日後，任何Flash Player都會變成非授權軟體，Adobe建議不要使用，因為非授權軟體是病毒和惡意軟體的常見來源，任何人如果使用這些軟體而遭到攻擊，Adobe說它不會負責。該公司也建議用戶在EOL日之前將Flash Player從電腦上移除，那天之後，Adobe就會對用戶發出移除Flash Player的通知。

在瀏覽器的封鎖下，網站加速揚棄Flash。根據市調公司W3Techs的數據，使用Flash程式碼的網站比例，由2011年的28.5%到今年僅剩2.6%。

安全廠商發現100多個瀏覽器擴充暗中蒐集用戶資訊，疑為大規模監控行動的一部份，並警告有將近80個已在Chrome Web Store軟體市集上架，並有3300萬次下載。

安全廠商 Awake Security 威脅研究小組偵測到的一宗大規模全球監控行動和一家網域註冊和瀏覽器擴充有關。他們發現2.6萬個網域是向以色列網域註冊商GalComm有關，其中有近6成，超過1.5萬網域是用來代管各種傳統惡意程式或瀏覽器有關的監控工具。這些網域使用多種規避技倆，防止被安全產品標註為惡意網域來掩護監控行動

研究人員說，GalComm之流的網域註冊商可能具備網路軍火交易商的功能，提供犯罪組織或國家經營惡意網站、代管工具和擴充程式的平台，卻能不受監控或撇清責任。不過GalComm否認並表示這些可疑網域中有1/4和該公司沒有關聯，有的也早就刪除。

此外，研究人員還發現，過去三個月內就偵測到有111個惡意或假Chrome擴充程式連結Galcomm網域攻擊者的C&C伺服器或擴充程式的下載網頁。這些擴充程式的監控行為包括擷取螢幕畫面、讀取剪貼簿、蒐集儲存在cookies或參數中的驗證令符、竊取用戶鍵擊（如密碼）等等。

這100多個可疑擴充程式中有近八成，共79個在Chrome Web Store上架。研究人員還發現，這些惡意程式的作者先以乾淨無害的擴充程式上傳通過檢驗，之後再以有惡意程式碼的版本更新。而由於Chrome（及Microsoft Edge）的用戶眾多，截至5月為止這些擴充程式的下載量高達3300萬次，其中幾個的下載次數甚至超過千萬。

雖然接獲Awake Security通知後，Google已將這些問題擴充程式下架，但研究人員說，瀏覽器已經取代Windows、MacOS成為新的作業系統，而惡意瀏覽器擴充程式來監控Microsoft 365、Google、Salesforce、Facebook、LinkedIn或Zoom等成為新的rootkit。這也讓駭客使用不引人耳目的手法、技術和策略，成功躲過傳統安全防護產品如信譽評等引擎、沙箱、端點偵測與回應產品的偵測。

研究人員分析，這個大規模監控行動背後的組織，已經潛入將近100多家企業網路中，產業別擴及金融、石油和天然氣、媒體與娛樂、健康照護與製藥、零售、高科技、高等教育和政府部門，其中不乏部署最嚴密安全解決方案的組織。

安全公司建議企業應仔細盤查公司電腦上的流氓瀏覽器擴充程式，而這只是駭客躲避傳統安全產品、網域信譽評等、Web proxies和雲端沙箱等安全防護機制手法之一。IT部門應提高警覺日新月異的攻擊策略、手法和程序，來補強這些方案的不足。

微軟端點防護Microsoft Defender ATP將新增統一可延伸韌體介面（Unified Extensible Firmware Interface，UEFI）掃瞄功能，可用於掃瞄Windows 10 PC韌體，防止攻擊硬體的Rootkit程式。

近年安全防護產品能力讓作業系統上的惡意程式難以遁形，促使攻擊程式轉向硬體和韌體層。攻擊者著眼於入侵開機程序，降低低階惡意程式行為被偵測的機會，因而成為新興的企業安全威脅。

Windows 10原本已有Windows Defender系統安全防護（Windows Defender System Guard）功能，提供hypervisor驗證和安全啟動（Secure Launch）等硬體安全功能提供開機安全。安全啟動是微軟和晶片及PC商合作的「安全核心PC (Secured core PC)」計畫的一環，利用英特爾、AMD、高通的動態量測信任根（Dynamic Root of Trust Measurement，DRTM）技術，防止PC開機程序遭韌體攻擊，但只限於該計畫下的PC。最新的UEFI掃瞄，則是在Microsoft/ Windows Defender ATP加入UEFI掃瞄引擎元件，將韌體掃瞄提供給更多PC。

UEFI掃瞄引擎使Microsoft Defender ATP得以掃瞄韌體檔案系統內部，並進行安全分析。它可和主機板晶片組進行互動，在執行時讀取韌體檔案系統。這個引擎分析是否有rootkit經由序列周邊介面（Serial Peripheral Interface，SPI）進入韌體、藉由載入可疑驅動程式及定期性系統掃瞄，來檢視全韌體檔案系統的內容、偵測引擎則可辨識攻擊程式及惡意行為。

所有偵測都整合在Windows Security App中的防護紀錄（Protection History）項之下，而若有偵測到異常行為則會透過Microsoft Defender安全中心發出告警，方便IT管理員的調查和分析、回應，也可以利用Microsoft Defender ATP的進階獵捕功能來追查威脅程式。

這些資訊也可整合於跨端點、電子郵件、Azure、雲端App安全的微軟威脅防護（Microsoft Threat Protection，MTP）之中。

六大非營利組織在6月17日發起#StopHateforProfit活動，於洛杉磯時報（The Los Angeles Times）刊登大篇幅的廣告，號召廣告主在整個7月都不要在臉書上投放廣告，起因顯然就是臉書對川普言論的「不作為」，而知名的戶外用品品牌The North Face與Patagonia，都已宣布將支持此一活動，不再於臉書平臺上刊登廣告。

這六大組織分別是反誹謗聯盟（ADL）、全國有色人種發展協會（NAACP）、自由社會媒體行動組織Sleeping Giants、民權倡導組織Color Of Change、推動媒體改革與民主的Free Press，以及專門推動兒童安全技術與媒體的Common Sense。

NAACP主席Derrick Johnson表示，臉書一直不願意於該平臺上刪除政治宣傳，這不再只是臉書及其執行長祖克柏（Mark Zuckerberg）的疏失，更過份的是，他們還為不實資訊的傳播而沾沾自喜。

因此，#StopHateforProfit活動的主軸就是呼籲全美的廣告主，不要讓臉書利用這些仇恨言論來獲利，指責臉書煽動了以暴力來對抗種族正義抗爭者的行為，而且對臉書平臺上公然鎮壓選民的言論視而不見。該活動在廣告上宣稱，在臉書700億美元的營收中，有99%都來自廣告，廣告主應該要選擇所要支持的對象，共同向臉書傳遞強而有力的訊息：臉書的獲利不應來自於推動仇恨、偏執、種族主義、反猶太主義與暴力。

該活動發起不到一周，三大戶外用品品牌The North Face、Recreational Equipment Inc（REI）與Patagonia，便相繼宣布要加入此一抵制臉書的活動，其中，The North Face表示，它們不會在臉書旗下的任何平臺購買廣告版面，REI與Patagonia也都將停止於Facebook與Instagram上下廣告。

目前並不確定此波活動會達到何種規模，而另一方面，祖克柏並未直接回應該活動，而是持續強調臉書將努力推動美國的種族正義與平等，準備投入逾200億美元來支援黑人企業及組織，也正在研發可促進種族正義的產品，朝打造一個更具包容性平臺的目標前進。

德國兩大高級汽車製造商Mercedes-Benz與BMW近日宣布，雙方將終止自駕車合作開發計畫，未來雙方將會追求自己的合作夥伴，亦不排除再度合作，而這起合作案維持不到一年。

這兩家知名的汽車業者是在去年的7月4日宣布要合作開發自駕車軟體，共同投資了1,200名工程師，目標鎖定電動車龍頭Tesla，且計畫要在2024年推出具備高度自駕能力，還能自動停車的新一代汽車。

不過，在經過近一年的合作之後，它們衡量了目前的商業與經濟情況，以及建立共享技術平臺所需要的支出，覺得這是個錯誤的時機，於是決定分道揚鑣。

儘管是市場上的競爭對手，但Mercedes-Benz與BMW之間一直有不少的合作案例，例如它們與Audi AG在2015年一起以31億美元收購了Nokia HERE，去年初BMW與Daimler AG還共同成立了共乘服務公司Share Now。

在社交服務屢敗屢戰的Google，上周（6/19）宣布推出結合人工智慧（AI）的主題式圖片搜尋及社交服務Keen，要挑戰Pinterest。

Keen是由Google內部的App孵化器Areat 120的一項計畫，並偕同專攻機器學習系統的People and AI研究中心（People and AI Research，PAIR）合作開發。

類似現今當紅的視覺化圖片搜尋及社群分享平臺Pinterest，Keen讓用戶從網路上搜尋及彙整特定主題的圖片連結。使用者可以蒐集任何主題的圖片或照片成一個「keen」，並分享給其他人，或是自己儲存的keen尋找新的內容。這項服務也允許用戶控管每個keen的公開狀態、哪些可以分享出去、以及誰可以分享給用戶。

為了和Pinterest區隔，Google新服務將整合Google搜尋和最新機器學習功能以強化其內容的相關性。使用者在其keen內儲存的內容愈多，愈常編輯組織，Keen就能提供愈精準的推薦內容，久而久之就能找到更多相關的圖片。此外，用戶也能跟隨他人的keen，以加速相關主題內容的擴充。

目前Keen已推出Web版及Android App供有興趣的用戶下載，Google也邀請用戶試用後回饋使用心得。

這只是Google最近釋出的其中一項新社交服務。還記得Google去年四月關閉的Google Plus（Google+）嗎？本月初Google重新讓這項服務以企業協同服務形式復活，改名Currents，以挑戰微軟Teams/Yammer，不過只提供給G Suite的企業用戶，預計7月6日正式上線。

受到全球疫情的持續影響，全球資安盛會RSA Conference公布2020 Asia Pacific & Japan場（以下簡稱RSAC APJ）將改為線上舉辦。

已經連續舉辦8年的RSAC APJ，每年都在7月中下旬於新加坡舉行，今年時間上也不例外，不過，RSAC資深總監兼總經理Linda Gray Martin表示，為了與會者的健康和安全，這次將採免費線上方式舉辦。畢竟，在今年2月於舊金山已舉行的RSAC USA，當時會後曾傳出有參加會議的廠商員工確診。

關於這次活動，待與會者線上註冊後，將會收到活動通知信，信中包含RSAC提供的線上視訊會議活動網址（https://vshow.on24.com/...)以及登入帳密，即可免費線上參與。在這次為期三天的議程中，目前議程已經完全公布，從主題演講到9大主題的54場專題演講，大會主題並將持續以「Human Element」為題，提醒人為因素仍是資安最薄弱的環節。

此外，過往於年底舉行的RSAC Unplgged，目前官方尚未公布今年該活動舉辦的時間與地點。

Google研究人員在GECCO 2020會議上，發表具有自注意力（Self-attention）瓶頸的人工智慧代理AttentionAgent，研究人員運用不注意視盲（Inattentional Blindness），讓AttentionAgent具有選擇性注意力，能夠忽略不重要的細節，相較於傳統方法，代理泛化學習參數少了1,000倍，可以更好地處理複雜的電腦視覺任務。

不注意視盲是一種人類心理現象，由於選擇性注意力，因此人們會漏看視野裡部分東西，Google提到，這種選擇性注意機制，讓人們可以專注於重要的事物上，而不分心於無關緊要的細節，他們相信這種機制可以讓人們濃縮感官資訊，成為一種夠簡潔的形式，用於未來的決策上。

盡管選擇性注意力看起來像是種限制，但Google認為，從自然界觀察到的這種瓶頸，可用於改善機器學習設計，透過模仿讓人工智慧學習，生物能夠高效能解決任務的方法。過去的深度增強學習，都讓人工智慧代理能夠存取完整的視覺輸入，而Google現在以注意力限制，來減少人工智慧代理存取視覺輸入，以提高系統效能，不只可以大幅減少需要的參數，而且因為代理看不見部分視覺輸入，因此剛好能避掉那些可能造成混淆的內容，而且查看代理把注意力集中在什麼部分，還可以為其決策提供視覺的可解釋性。

過去也有類似的研究，利用稀疏性來限制輸入內容，而AttentionAgent則是從人類的不注意視盲獲得靈感，當大腦付出努力參與任務時，大部分的注意力會集中在與任務相關的元素上，暫時對其他訊號視而不見。為了要實現這件事，Google將輸入的圖像分割成幾個小區塊，然後修改自注意力架構來模擬小區塊間的投票，選出重要的子集，AttentionAgent會忽略不重要的部分，僅利用重要區塊做決策。

關鍵要素除了視覺輸入的擷取之外，關聯這些要素隨時間變化的能力也很重要，像是棒球比賽中的打者，必須利用視覺訊號來連續追蹤棒球的位置，以預測能夠打擊到球的位置，AttentionAgent則會利用長短期記憶（LSTM）模型，從重要的視覺區塊中擷取資訊，並在每個時步決定一個行動，LSTM會追蹤輸入序列變化，並利用這項資訊追蹤關鍵要素在不同時間的演變。

重要區塊的視覺化，可讓研究人員知道人工智慧下決策的方法，並說明大多數的選擇，是合理且符合人類直覺，可做為系統開發階段，好用的分析和除錯工具，另外，Google提到，人工智慧代理學會忽略非關核心任務的資訊，因此經修改還可以推廣應用到小環境任務。

Google的這項研究，證明僅讓人工智慧代理存取重要的區塊，無視場景其餘的部分，可以提升代理泛化（Generalize），用於解決其他任務能力，像是在VizDoom TakeCover環境接受訓練的人工智慧代理，也能夠在其他牆壁較高、地板貼圖不同，或是更多令人分心標誌的環境下生存。

這樣的成果可以被應用在自動駕駛上，應用晴天資料集學習駕駛的代理，也能夠將駕駛技能轉移到晚上或是下雨天，AttentionAgent不僅能夠解決CarRacing-v0任務，在其他惡劣環境中，也能達到相近的效能，泛化需要的參數比慣用的方法少1,000倍。

不過，即便AttentionAgent能夠適應環境修改，仍有其限制，像是原本周圍都是綠地的賽車背景，一旦換成YouTube影片便會失效，又或是更換成均勻的雜訊時，人工智慧代理的注意力模組便會失效，Google提到，他們用於選擇重要視覺區塊的方法仍不夠強健，不足以應付更複雜的任務，因此他們接下來會發展，能從視覺輸入擷取有意義特徵的方法。

德國汽車製造商福斯（Volkswagen AG）在18日宣布，將在集團內設立全新的Car.Software部門，準備招聘逾5,000名的數位專家，以打造統一的軟體平臺，供該集團的所有汽車使用，計畫在2025年時，自製軟體的比例將從現有的不到10%，成長到60%。

根據福斯汽車的規畫，此一統一軟體平臺將會納入各種汽車的基本功能，包括汽車作業系統vw.os與Volkswagen Automotive Cloud，而且2025年的所有新車種都將採用該平臺，首輛基於新平臺的汽車將是中型掀背電動車ID.3，現有超過2萬的潛在客戶已預訂了ID.3。

負責福斯汽車數位車輛及服務的Christian Senger表示，福斯為硬體平臺的專家，但現在將把此一能力移轉到軟體開發上，以大幅降低複雜度。

目前大約有200家不同的供應商提供福斯汽車70種控制元件與作業系統軟體，這些元件與軟體都必須被整合到汽車上，而且還有許多具備類似功能的不同系統，例如資訊娛樂系統及導航，藉由把作業系統及基本功能統一，再透過Volkswagen Automotive Cloud提供服務，可望大幅減少複雜的狀況。

總之，福斯企圖標準化不同車種的同樣功能，因此也需要大量的數位專家，從軟體開發、電氣與電子開發、連結、自動駕駛、使用者介面、雲端架構及電子商務等，而這些專家都將進駐全新的Car.Software部門。

福斯說，目前Car.Software已有500名員工，預計今年將成長至2,000名，2025年則會超過5,000名。

0618-0624 一定要看的資安新聞

＃漏洞揭露

79款Netgear路由器含有安全漏洞，可允許駭客執行任意程式

根據資安研究人員Adam Nichols的披露，有79款Netgear路由器，都含有允許駭客執行任意程式的安全漏洞，同時Adam Nichols也公布了尋找該漏洞的工具，以及概念性驗證攻擊程式。然而，更令人驚訝的是，Zero Day Initiative（ZDI）早在今年1月，就把上述漏洞提報給Netgear，但因為廠商拖延修補時程，因此ZDI決定於6月15日公布細節。

值得留意的是，本來ZDI認為該漏洞只影響其中一款路由器，但Adam Nichols發現，還有78款同廠牌路由器的韌體，也存在相同的漏洞。詳全文

圖片來源：Zero Day Initiative

＃視訊會議  ＃E2EE

政策急轉彎，Zoom免費用戶也將有全程加密功能

視訊會議平臺廠商Zoom於6月初宣布，將會納入全程加密（E2EE）功能，但該公司以避免用於不法為由，表示E2EE僅付費用戶能夠使用，不會在免費版本提供。不過，該公司17日改口，宣稱他們找到能兼顧隱私和安全的做法，如果免費版用戶願意進一步提供個人資訊，也可以獲得這項安全保護能力。Zoom計畫於7月啟動早期測試。詳全文

＃視訊會議  ＃漏洞修補

思科WebEx Meetings出現記憶體漏洞，可讓駭客存取視訊會議內容

居家辦公需求大幅增加，視訊平臺的安全性也備受關注。例如，最近安全廠商Trustwave揭露，Windows版思科WebEx Meetings的應用程式，在記憶體存取的機制上存在漏洞CVE-2020-3347，讓駭客能夠取得Token，進而存取會議內容與密碼，Trustwave也提供概念驗證攻擊影片。

對此，思科推出40.6.0版應用程式修補此漏洞，並呼籲使用者要儘速安裝。該公司也表示目前尚未發現漏洞遭到濫用的情形。詳全文

圖片來源：Trustwave

＃勒索軟體攻擊

勒索軟體Thanos濫用作業系統設計漏洞，讓防毒軟體難以偵測

曾被資安業者揭露的系統漏洞，讓多家防毒軟體無法識別其攻擊行為，不久之後已被駭客用來製作攻擊工具。例如，資安公司Nyotron曾於去年11月，揭露濫用Windows作業系統設計瑕疵的攻擊手法，命名為RIPlace，並表示駭客很可能會用於勒索軟體上。最近有另一家資安業者Recorded Future揭露了後續的情形，印證了Nyotron去年的推測。他們表示在今年1月開始，發現駭客組織Nosophoros在兜售的勒索軟體服務裡，提供的攻擊工具Thanos便含有RIPlace。詳全文

圖片來源：Recorded Future

＃DDoS攻擊

AWS流量清洗服務擋下2.3Tbps流量，創歷史新高

分散式阻斷服務（DDoS）攻擊的態勢，今年年初再度創下新的流量記錄。根據AWS發布的消息，DDoS防護服務AWS Shield今年第1季總共擋下了31萬次攻擊，還有高達2.3Tbps攻擊流量，比起該公司以往經歷的最大規模攻擊，多出44%流量，同時也締造全球DDoS攻擊流量的新紀錄。

該公司指出，這波大規模攻擊僅有3天，卻出現如此龐大的流量，是因為攻擊者採用了CLDAP（Connection-less Lightweight Directory Access Protocol）反射放大攻擊，由於這種手法中，流量回應封包與請求封包的大小，差距可能會達到50倍，因而形成極為可觀的放大效果。詳全文

＃K8S  ＃容器安全

錯誤配置Kubeflow易招來挖礦攻擊

容器的運算資源，駭客也企圖用來挖礦。最近，微軟Azure資訊安全中心偵測到新一波Kubernetes叢集的挖礦攻擊，這次駭客鎖定的是其中的機器學習框架Kubeflow，已有數十個Kubernetes叢集遇害。而這些容器叢集遇害的原因，是因為用戶調整部分參數，導致相關服務直接曝露在網際網路中。

微軟提醒叢集管理者，在部署Kubeflow這類服務的時候，不只應該要對應用程式採取身分驗證和存取控制、不要將連接埠直接曝露在網際網路上，並且還要監控執行環境，包括監控正在執行的容器和程序，同時，也要限制叢集只能部署受信任的映像檔。詳全文

＃網路釣魚攻擊

為了釣魚郵件能繞過資安防護偵測，駭客同時濫用牛津大學與三星的IT資源

在網路釣魚的攻擊郵件中，駭客試圖要規避企業各式偵測機制，採取更為複雜的做法。例如，最近Check Point揭露一起假借英國牛津大學名義的網路釣魚攻擊，駭客不只挾持這所學校的SMTP伺服器，郵件裡以聆聽語音訊息的名義，引誘受害者連線到釣魚網頁的按鈕，會先導向三星Adobe Campaign伺服器，再傳送到作為跳板的WordPress網站，最終才把使用者送到網釣頁面，以躲避現有的防護偵測措施。

Check Point指出，不管是寄件人的郵件位址，或是郵件中所包含的連結，都是來自於看起來合法及可靠的來源，因而可躲過尋常的安全機制。詳全文

＃Deepfake

臉書Deepfake造假影片辨真大賽結果出爐

為了因應透過人工智慧假造的Deepfake影片，臉書在去年12月舉辦了辨識技術創新大賽，並於今年6月12日公布結果，顯示參賽的機器學習模型辨識準確度算是不錯，但如果要是應用在全自動化的人臉辨識上，仍然還有很長的一段路要走。

臉書指出，偵測Deepfake技術一直有個尚未解決的問題，即用已知資料訓練而成的模型，難以推論到未知資料上，而在本次比賽中，也出現已知與未知資料集之間成績不一致的結果，再次反映偵測模型難以推論的難題，是未來必須再努力的地方。詳全文

＃國家安全

立委踢爆資安業者Fortinet產品可能來自中國，政府著手清查

隨著美國與中國之間的政治角力越演越烈，由中國人創辦的美國IT公司，可能因為高層與中國政府關係良好，再加上視訊會議系統Zoom遭到禁用的事件，而成為產品安全性議題被放大檢視的對象。資安業者Fortinet被我國立委林俊憲爆料，有偽造產品產地前科，創辦人與中國當局關係良好，而使得公部門採購的設備可能也有類似的問題，而存在資安疑慮。

對此，行政院資通安全處處長簡宏偉表示，政府共同供應契約不允許產品貼牌行為，並排除中國製產品。工業局則指出，Fortinet標示產品來自美國，若調查後確認產品來自中國，則會要求機關下架。詳全文

＃資安會議

2020年RSA亞太及日本大會將採線上舉辦

受到全球疫情的持續影響，全球資安盛會RSA Conference公布，2020 Asia Pacific & Japan場（以下簡稱RSAC APJ）將改為線上舉辦。RSAC APJ已連續舉辦了8年，每年都於7月下旬在新加坡舉行，今年也會如期舉辦，不過為了與會者的健康考量，他們決定採線上的方式進行，與會者可免費註冊參與。詳全文

更多資安動態

●知名飾品Claire's官網遭植入信用卡側錄程式
●防範記憶體內執行攻擊，英特爾處理器將嵌入防毒
●VLC媒體播放器修補遠端程式攻擊漏洞
●瀏覽器業者Mozilla即將推出VPN服務

Nvidia在上個月發表Ampere架構的Nvidia A100 GPU，今天新增加PCIe版本的A100，並預告已獲多家伺服器相關業者支持，今年內將有超過50款採用A100的系統推出。

Nvidia在今年5月甫發表Nvidia A100，為Nvidia首款以7奈米製程，並採用Ampere架構推出的GPU加速器，內含540億顆電晶體，內建第3代Tensor core，多達432個Tensor核心，在FP32訓練及INT8推論效能都比前代的Volta架構高出20倍，在FP64 HPC效能則提升2.5倍。搭配第3代的NVLink技術，可將多顆GPU連接，如同一顆巨大的GPU般運作。Nvidia也同時發表以A100 GPU為基礎的新一代AI超級電腦系統DGX A100，可容納8張A100 GPU，運算效能可達5 PFLOPS。

為了擴大Nvidia A100系統市場，Nvidia在A100 SXM版本外，今天再新增PCIe版本，可支援PCIe Gen4規格，以相容於更多的伺服器系統，進一步擴大A100 GPU系統的市場版圖。

Nvidia預告已有多家伺服器業者將推出搭載Nvidia A100 GPU的系統，包括華碩、Dell、源訊、思科、技嘉、HPE、聯想、廣達/雲達、富士通、Inspur、美超微、One Stop Systems等等，其中約30款將在今年夏天推出，今年底前還有超過20款將推出。

Nvidia表示，A100 SXM與PCIe版本的差異，除了介面規格，TDP功耗也從SXM的400瓦，降至PCIe的250瓦。新的PCIe版本A100將讓伺服器業者得以推出更多元系統，從單一的A100 GPU系統，到搭載十個或更多GPU的伺服器系統，以滿足藥物開發的分子特性模擬到建立精密的貸款審核財務模型。

例如華碩將推出單一伺服器，配備4張A100 PCIe GPU，思科也將在旗下的UCS、HyperFlex，以及Dell的PowerEdge系統伺服器也將支援A100，HPE ProLiant DL380伺服器支援A100 PCIe GPU，技嘉旗下的G481-HA0、G492-Z50 與 G492-Z51伺服器將支援10張A100 PCIe GPU，其他還有聯想、雲達、One Stop Systems也將推出支援的產品。

基於Nvidia A100，Nvidia也發表了號稱為美國最快的工業級大型運算系統Nvidia Selene，這套大型運算系統由280臺DGX組成，包括2,240張A100 GPU，搭配494 Mellanox Quantum 200G InfiniBand Switch，以及56TB/s高速網路架構、高達7PB的全快閃網路儲存系統。

去年Nvidia大手筆投入69億美元併購Mellanox，取得Mellanox在高效能運算的InfiniBand、Ethetnet等網路互連技術，使該公司在資料中心的競爭力大增，並在資料分析、AI及資料科學運算興起下，積極搶攻新世代資料中心市場。

在資料中心擁有高市佔的英特爾，最近也因應AI、資料分析的需求，一舉更新旗下資料中心相關產品線，包括推出第三代Intel Xeon可擴充處理器，提升AI推論及訓練能力，還有Intel Optane persistent memory記憶體、3D NAND SSD快閃固態硬碟。

最新的ECMAScript 2020規範已經通過資訊和電信標準組織Ecma國際批准。ECMAScript 2020加入了多種新功能，包括用來動態匯入模組的import()語法，還有能夠處理任意精度整數的BigInt，都是ECMAScript 2020的重點功能。ECMAScript是一種腳本語言規範，JavaScript則是ECMAScript的實作。

從ES 2015開始，JavaScript便進入滾動發行（Rolling Release）的新階段，盡管ECMAScript規範的新版本，需要經過提案、討論、批准和最終確認多個過程，但是與年度更新比較起來，各瀏覽器支援個別新功能的時間，通常早於規範釋出的時間，不過，ECMAScript 2020規範正式核准，仍然是一個重要的里程碑。

ECMAScript 2020最大的功能更新，可以說就是BigInt，這是JavaScript中第7個原語資料類型，這個資料類型可讓開發者使用一些非常大的整數，JavaScript原生Number能夠表示的最大值為2的53次方，而BigInt則可以表達大於2的53次方的數字，BigInt跟Number用法很相似，但仍有些許不同，BigInt不能被用在Math物件方法裡，也不能和Number混合計算，必須要先轉為同一個型態才行，且當BigInt被降轉成Number時，可能會遺失部分精度資訊。目前以Chromium為基礎的瀏覽器，還有Firefox都已經支援，Safari進度則落後。

新規範也納入了動態匯入，這是一個V8引擎在2017年就加入的功能，現在所有主流瀏覽器也都已經支援。標準匯入語法為靜態的，靜態匯入可能會大幅降低程式碼載入速度，而且可能大部分程式碼不會被用到，而且可能占用大量記憶體。

因此在ECMAScript 2020中提供動態匯入，類似函式形式的import()模組，只要使用動態指示符號，就能夠非同步載入模組，使import()表示式能夠載入模組，並且回傳包含模組所有內容的Promise物件，該物件在程式碼的任何位置都能被呼叫，動態匯入不只能夠與ES 2015的.then()方法一起使用，也能結合最新的async/await語法。

盡管動態匯入在部分情況可以解決靜態匯入的問題，但開發者仍需要謹慎使用，靜態匯入仍有其優點，其對於載入初始相依項目更可靠，且可經靜態分析和樹搖工具處理，能提高程式效能並移除不必要的程式碼。

無效值聯合運算子（Nullish Coalescing Operator）則是一個新的邏輯運算子，表示為??，當其左側運算元為null或是未定義時，則回傳右側運算元。??和邏輯OR運算子||相反，當左運算元不為null或是未定義時，就回傳左運算元，所以當需要考量除了null或是未定義之外的其他偽值，讓''以及0都可用時，則開發者便可選用無效值聯合運算子。

另外一個相似??的新運算子，稱為可選串連運算子，表示為?.，同樣是用來處理null或是未定義的無效值，不過可選串連運算子則是專門處理物件，過去在存取無效值屬性時會出現錯誤，但是當使用可選串連運算子，則僅會回傳null或是未定義值，也就是當要存取一個函式，但是該函式不存在，則會回傳未定義。

此外，ECMAScript 2020的字串加入了一個新的matchAll()方法，在while迴圈中使用g旗標，便可作為正規表示式方法RegExp.exec()的替代，該方法會回傳一個Iterator，裡面包含了所有配對成功的字串結果。

全球500大超級電腦排名竄出黑馬，在最新公布的排名中，日本以新一代超級電腦Fugaku（中文名「富岳」）重回全球第一寶座，HPL（High Performance Linpack）達到415.53 petaflops，性能領先排名第二的美國超級電腦Summit近3倍。

Fugaku是由日本的理化學研究所（RIKEN）和富士通共同合作打造的新世代超級電腦，座落於日本神戶市的RIKEN電腦科學中心（R-CCS），這座全新打造的超級電腦為曾在2011年拿下500大超級電腦第一名的富士通「京」超級電腦（K Computer）後繼者，幫助日本重返全球最快超級電腦的寶座。

Fugaku是由日本的國家型計畫所推動，目前在打造新世代的超級電腦，以滿足高優先性的社會及科學議題研究，達成日本所提出的社會5.0計畫，執行藥物探索、個人化及預防性的醫學、天然災害的摸擬、氣候預測、能源研究、材料研發、全新生產流程等等研究。目前Fukagu已被用於對武漢肺炎（COVID-19）的研究，涵蓋診斷、病毒到傳播，並準備2021年4月全面運作。

特別的是，Fugaku採用了Arm架構為基礎的富士通48核心A64FX SoC，共有158,976個節點，尖峰性能可達到1 exaflops（1,000 petaflops）這也是全球500大超級電腦中首次由Arm架構系統奪下第一名，除了在Linpack中拿到好成績，Fukagu也在HPL-AI中獲得1.421 exaflops。

在2019年於東京舉行的富士通年度論壇中，富士通現場曾展示以Arm架構技術為基礎開發的A64FX晶片，當時以Post-K稱呼「京」超級電腦的後繼系統，並展示原型設計所使用的A64FX晶片，該晶片採用Armv8.2-A指令集，內建32GB的HBM2記憶體：

前五名超級電腦由日、美、中包辦

日本的Fugaku之後，排名第二為美國能源部旗下橡樹嶺國家實驗室的超級電腦Summit（148.8 petaflops），第三名為同為能源部底下的勞倫斯利佛摩國家實驗室的Sierra（94.6 petaflops）。中國的超級電腦神威太湖之光（93 petaflops）及天河-2A（61.4 petaflops）分居四、五名。

在前十大超級電腦中，除了日本的Fugaku以新人之姿拿下第一，來自義大利的HPC5超級電腦，以35.5 petaflops取得第六名；另一個新系統則是Nvidia的超級電腦Selene，該系統採用DGX Super POD，內部使用Ampere架構Nvidia A100 GPU及HDR InfiniBand組成，以27.58 petaflops取得第七名。剩下的第八、九、十名，分別是美國的Frontera、義大利的Marconi-100及瑞士國家超級電腦中心的Piz Daint 。

今年500大超級電腦，合計運算性能達2.23 exaflops，較上一次公布的500大超級電腦整體性能1.65 exaflops提升，500大超級電腦排名的最低門檻也提高至1.24 petaflops。

在6月中旬，幫助企業打造安全產品的以色列資安顧問公司JSOF，揭露了Ripple20漏洞，引發外界關注的是，這批漏洞導致大規模供應鏈曝險，影響非常廣泛，包括工業、電網、醫療、家用、網路與企業聯網裝置都受影響。

這是因為，Ripple20漏洞存在於Treck所開發的嵌入式TCP/IP函式庫，而該公司產品受到廣泛的客戶採用，包括Intel、HP、施耐德電機等多家業者。目前，Treck已經修補相關漏洞，並於官網上披露，而相關供應鏈的修補動向，更是企業用戶關注的焦點，

目前已確認15家業者受影響，修補動向成關注焦點

為了調查Ripple20漏洞的影響，最初，JSOF列出了8家確認為Treck的客戶名單，並有超過60家尚待確認，到了6月22日，我們看到JSOF公布的已確認Treck客戶名單，已經達到15家業者，包括：B.Braun、Baxter、Carestream、Caterpillar、Cisco（Starent Network）、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear（HLFN）、Rockwell、Schneider Electric/APC、Teradici，還有53家業者待確認。

值得企業關注的是，目前已有幾家廠商發布資安公告或新版韌體修補資訊，提醒企業用戶或設備業者應盡快修補。

例如，HP針對旗下數十款HP與Saumsung印表機產品發布更新，Intel也說明多款產品受影響，建議用戶升級至已修補的最新版。施耐德電機也建議應限制對其設備的存取，降低風險。

不只是這些產品用戶要注意，對於其他尚未確認受影響的50多家業者，後續是否公布受影響，並發布更新修補資訊，也要持續留意。

清查受到Ripple20漏洞影響的設備
多家廠商陸續發出公告

關於Ripple20漏洞的影響，根據6月22日JSOF發布已確認為Treck的客戶名單，目前共有15家業者，包括B.Braun、Baxter、Carestream、Caterpillar、Cisco（Starent Network）、Digi、Green Hills、HCL Tech、HP、HPE、Intel、Maxlinear（HLFN）、Rockwell、Schneider Electric/APC與Teradici。

由於JSOF會持續確認有那些廠商確定是Treck的客戶，因此，我們可以從JSOF在Ripple20網頁上陸續更新的資訊，來確認受影響的業者。網頁上，JSOF已經將「影響或可能影響業者資訊」匯整成表格並發布成圖片公開在網站上，而我們可以憑藉圖片檔的命名，來找到之前更新的版本。特別的是，在近期的更新名單中，新增的業者是Teradici與Carestream，不過，先前已加入確認名單的Sandia National Labs，到了6月22日v9版名單中則被刪除。

接下來，我們將根據這裡的公告，針對已確認採用Treck的業者，整理這些廠商因應Ripple20漏洞相關消息(至6月22日止)，整理如下：

IT設備（依廠牌英文字母排列）

廠牌：Cicso
產品：Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway與System Architecture Evolution Gateway (SAEGW)
資安公告與修補狀況：Cisco在6月17日發布資安公告，說明目前調查已有4款路由器與交換器產品受影響，包括Cisco GGSN Gateway GPRS Support Node、MME Mobility Management Entity、PGW Packet Data Network Gateway與System Architecture Evolution Gateway (SAEGW)，不過目前還沒釋出更新修補，另外他們也指出還有4款產品正在調查是否也受影響。

網址：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-treck-ip-stack-JyBQ5GyC

廠牌：HP
產品：雷射印表機系列產品HP Laser/LaserJet Pro/Neverstop Lase，以及Samsung proXpress/MultiXpress：噴墨印表機系列產品HP DeskJet/OfficeJet/OfficeJet Pro/Ink Tank/Smart Tank。
資安公告與修補狀況：HP在6月16發布資安公告，說明該公司旗下多款印表機產品都受此漏洞影響，而該公司已經釋出修補韌體，用戶應儘速前往更新。

網址：https://support.hp.com/si-en/document/c06640149

廠牌：HPE
產品：N/A
資安公告或修補動向：N/A

OT設備（依廠牌英文字母排列）

廠牌：B. Braun
產品：Outlook 400ES
資安公告與修補狀況：該公司在6月16日發布資安公告，當中說明B. Braun Outlook 400ES安全輸液泵系統中使用了Treck的產品。
他們並指出已從Treck收到24個修補程式，用以解決該軟體中的漏洞。而該公司對這些修補程式進行分析後，發現其中20個修補不適用Outlook 400ES產品，因為該產品不容易受到這些漏洞的影響，而他們會針對剩下4個修補程式進行分析，以確定每個漏洞的影響範圍與嚴重性。

相關資安公告網址：https://www.bbraunusa.com/content/dam/b-braun/us/website/customer_communications/Skyline%20Response_Outlook_6.9.2020_FINAL1.pdf

廠牌：Baxter
產品：無線電池模組35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n，以及36010–a/b/g/n。
資安公告與修補狀況：Baxter在6月16日發布產品資安公告，當中說明該公司旗下Spectrum Infusion System的無線電池模組，使用了Digi Net + OS操作系統，因此受到Treck這些漏洞的影響。根據Baxter的清查，目前受影響的無線電池模組，包括35083 -b、35162 -b/g、35195 -a/b/g/n、35223 -a/b/g/n，以及36010–a/b/g/n。目前，Baxter已從軟體供應商（Digi）獲得修補程式，正在驗證與確認階段，他們請用戶關注後續訊息發布，同時也提供緩解措施。

相關資安公告網址：https://www.baxter.com/sites/g/files/ebysai746/files/2020-06/BulletinSpectrumDigiTreck%20%28003%29.pdf

廠牌：Carestream
產品：CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One
資安公告與修補狀況：醫療CareStream在6月18日發布資安公告，他們說明，若要利用Ripple20漏洞，攻擊者需要從醫院網路存取嵌入式操作系統的設備，但以該公司的實作上，設備是直接連至Windows電腦，如果用戶都遵循此作法，風險很低。同時，他們也列出了可能受此漏洞影響的產品，包括CR975、Directview Max CR System、Directview Classic CR System、Directview Elite CR System、HPX Pro、HPX-One，另外還有29款產品正在清查中。他們並預告將在6月26日更新狀況。

相關資安公告網址：https://www.carestream.com/nl/nl/services-and-support/cybersecurity-and-privacy

廠牌：Caterpillar
產品：N/A
資安公告與修補狀況：Caterpillar在6月16日僅發出簡短的資安公告，表示正在確認這批漏洞對於產品的衝擊，但並未說明清查與修補狀態，還不知道有那些產品受影響。

相關資安公告網址：https://www.cat.com/en_US/support/technology/connected-solutions-principles/security/caterpillar-cybersecurity-advisory.html

廠牌：Rockwell Automation
產品：N/A
資安公告與修補狀況：N/A

廠牌：Schneider Electric
產品：N/A
資安公告與修補狀況：施耐德電機在6月16日發出資安公告，尚未說明那些產品受影響，但表示可透過限制對其設備的存取來減輕遭受攻擊的風險。

相關資安公告網址：https://download.schneider-electric.com/files?p_enDocType=Technical+leaf...

軟體與其他設備（依廠牌英文字母排列）

廠牌：Digi
產品：Connect SP/ME/ES/EM/WME/9C/9P、ConnectPort X4 (all variants)、ConnectPort X2 (NOT X2e)、ConnectPort TS (Not LTS)、   AnywhereUSB (excluding Plus)、NetSilicon 7520/9210/9215/9360/9750，以及任何使用NET+OS 7.X 的embedded產品
資安公告與修補狀況：Digi在6月16日發布資安公告，向用戶說明Ripple20漏洞對該公司產品的影響與如何修補，從公告內容來看，在該公司評估後受影響的產品相當多，而該公司也在4月20日就已發布新版修補，讓使用它們元件的產品業者修補。

相關資安公告網址：https://www.digi.com/support/knowledge-base/digi-international-security-...

廠牌：Green Hills
產品：N/A
資安公告與修補狀況：對於Treck函式庫的漏洞，Green Hills Software在網頁上公告GHnet v2 Product Security Advisory的訊息，他們強調，儘管該公司GHnet v2產品是基於Treck，但兩者並不完全相同，它們之前即有改進並增加新功能，因此這些漏洞對GHnet v2的影響並不大。

相關資安公告網址：https://support.ghs.com/psirt/PSA-2020-05/

廠牌：HCL Technologies
產品：N/A
資安公告與修補狀況：N/A

廠牌：Intel
產品：Intel Converged Security and Manageability Engine(CSME) 、Server Platform Services(SPS)、Trusted Execution Engine(TXE), Active Management Technology(AMT)、Standard Manageability(ISM)與Dynamic Application Loader (DAL)
資安公告或修補動向：Intel在6月9日發布安全公告，指出韌體將會遭受提權、DoS與資訊洩漏的風險，影響旗下多項Intel CSME、 Intel AMT、Intel ISM、Intel DAL與Intel DAL軟體，他們在漏洞揭露前已針對受影響產品，發布新版修補來減輕這些潛在弱點的影響。

相關資安公告網址：https://www.intel.com/content/www/us/en/security-center/advisory/intel-s...

廠牌：Maxlinear
產品：N/A
資安公告與修補狀況：：N/A

廠牌：Teradici
產品：Tera2 Zero Client firmware、Tera2 Remote Workstation Card 
資安公告與修補狀況：軟體公司Teradici在6月17日發布資安公告，說明旗下共有兩款產品受到Ripple20漏洞的影響，而他們已經發布新版修補，

相關資安公告網址：https://advisory.teradici.com/security-advisories/56/

蘋果於今（22）日凌晨舉行一年一度的產品發表盛會WWDC，發表新一代MacOS（Big Sur）、iOS14、iPadOS、WatchOS7等產品。其中預計今年秋天釋出的iOS 14主螢幕（Home Screen）頁加入了改版的Widget、App Library，也改良了App Clips、iMessage、Siri、FaceTime等功能。未來Find My也可支援第三方裝置。

今年由於武漢肺炎的關係，而WWDC首度搬到線上舉行。所有主要高層包括執行長庫克（Tim Cook）的開幕致詞也皆以預錄影片取代，內容更聚焦於技術細節而非行銷說詞，而且今年也開放免費報名即可觀賞。

一如過去幾年，蘋果還是表示iOS是有史以來最大改版，且今年仍然延續使用產品名稱，沒有如之前謠傳改名為iPhone OS。iOS 14以重新設計的Widget、新的App Library更新主螢幕頁、此外增加App Clip功能、並改善了Siri、iMessage、Apple Map、FaceTime等。

今天起，開發商可經由developer.App.com下載iOS 14開發者預覽版，下個月提供公開beta版，正式版預計今年秋天釋出。iPhone 6S以後版本可以免費升級。

改版後的Widget和Android的widget一樣，可以調整成不同尺寸釘在主螢幕，以便一覽無遺展示所有資訊。使用者還可以建立widget的智慧堆疊（Smart Stack），後者具備裝置上智慧功能，能根據時間、地點及活動將相應的widget帶上主螢幕上，例如早上氣象預報Widget的位置，到了中午可能換成了行事曆。

主螢幕下方則是App Library，這新增的功能可讓使用者將所有未列於主螢幕頁的App集結，它會自動依App類別分組，例如常用、運動、健康、娛樂類，有助於減少App龐雜混亂的問題。這項可將次要App藏起來的功能Android也早就有了，只是蘋果更加入了智慧化元素。

App Clips讓用戶可以將應用程式的一部份顯示出來，通常是急需在幾秒內找到並啟用的功能，像是租Ubike、付臨時停車費、或是在得來速買咖啡等等，往往消費者並沒有預先下載App，Android原本就提供Instant Apps。在iOS14中，使用者只要掃瞄App Clip程式碼、刷一下NFC標籤或QR code、從Message或由Safari分享URL，就可以完成付費或必要服務，而無需下載對方的App。

此外，Safari新增網頁翻譯、新的隱私報告可告知所有擋下的跨網站追蹤軟體，並通知用戶網站密碼可能在網站資訊外洩事件中被洩露。

iOS 14也強化了原有功能，包括iMessage、Siri等。iMessage終於支援釘選常用聯絡人、加@提及某人、訊息內回覆（in-line reply）、或以多張圖片或表情來設立群組通話等功能。Siri知識也更豐富、能從網路上找答案，還能傳送語音訊息、並在使用通訊、筆記、電子郵件等應用提供鍵盤聽寫。

蘋果並強調iOS強化隱私防護和用戶安全。像是所有App在蒐集用戶行蹤資訊皆需取得用戶許可、用戶可設定許可App存取時僅提供模糊而非精確位置。今年內App Store產品下載頁，也會提供開發商的隱私及資訊蒐集內容。

其他功能包括支援11種語言的即時口語翻譯、Apple Maps新增電動車充電站、單車導航、以及新的旅遊導覽資訊等。FaceTime也改善視訊電話一來占滿整個螢幕的惱人問題，改縮成類似OK繃大小出現在螢幕最上方，而不會打斷使用者正在看的網頁或手上的工作。

新的數位車鑰（digital car key）讓用戶今年內，可以利用NFC來開關數位車鑰，且下一代數位車鑰也將在U1 晶片使用下支援UWB技術，明年用戶將不必拿出iPhone就可以解鎖未來支援車款。Health App新增Health Checklist功能，可一覽所有管理的功能，包括睡眠、心電圖、跌倒偵測、緊急呼叫及睡眠等，也新增新的心電及行動等紀錄項目。天氣App則新增次一小時內的下雨機率預報。

最後，Find My功能除了尋找Mac筆電或iPhone外，蘋果今天已將規格草案分享給第三方廠商，未來使Find My也支援非蘋果產品。