LINE GrayLab資安研究室的負責人李丞鎮(Beist),公布他們在企業內部與產品發布的資安防護作法。(圖片來源/LINE)

數位身分證系統建置招標文件出爐

圖片來源_內政部

內政部近期公布了新一代國民身分證(New eID)換發系統建置及維護案招標文件,啟動相關招標程序,並要求業者在明年6月完成相關系統開發、建置工作,為明年10月換發的數位身分證做好準備。

相較於目前的紙本身分證,新一代的數位身分證(New eID)整合自然人憑證,採用晶片卡設計,強化防偽造設計,卡面資料採用最少揭露原則,降低身分資料外洩的風險,並透過密碼分區保護晶片內的個人身分資料,內政部先前已委託中央印製廠製卡,相關系統原定在今年10月到明年9月間進行招標、建置工作。

根據內政部公布的招標文件,相關系統建置及維護專案編列8.78億元預算,建置包括New eID管理系統、戶役政資訊系統軟硬體擴充、自然人憑證管理系統軟硬體擴充,以及與中央印製廠製卡相關系統整合、維護、客服、人員教育訓練及每年維護計畫。New eID系統架構包含授權管理、服務專區等,需介接自然人憑證系統以及各縣市戶政系統。更多內容

 

LINE資安團隊任務分工首度在臺公開

攝影_洪政偉

這幾年來,LINE已經從單純的即時通訊,擴大到整合行動支付、購物、新聞、IoT裝置與通訊的平臺,甚至發展到虛擬貨幣交易所與網路銀行,服務範圍相當廣。他們如何做好企業資安這件事?

LINEGrayLab資安研究室的負責人李丞鎮(Lee Seung Jin)表示,資安團隊需要顧及的對象相當廣,包括LINE在全球8千多名的員工,還有自家軟硬體與基礎設施,以及第三方產品與服務,甚至委外承包商等。而在這些面向當中,其實有許多的難題要去面對,像是企業使用的VPN服務,也可能存在弱點,對於供應鏈攻擊手法的防範也相當重要。

首先LINE從企業產品開發生命週期著手,李丞鎮指出,在他們的資安團隊的運作流程中,主要涵蓋整個服務發布流程,包含訓練、需求、設計、執行、驗證與發布等六大階段。更多內容

 

Azure可以快速建置Java EE應用了

宣布要合作增加雲端互通性的微軟與甲骨文,釋出了關鍵的合作成果,在Azure市集發布四個配置項目,讓企業可以在Azure Linux虛擬機器上,以各種現成的配置執行WebLogic Server(WLS),降低企業在Azure上運作Java EE的障礙。更多內容

 

Netflix開源內部Python資料科學開發框架

圖片來源_Netflix

近期Netflix釋出內部專為資料科學家設計,以人為本的資料科學應用開發框架Metaflow,除了可讓使用者靈活地進行模型開發之外,也能快速存取在AWS S3上的資料。

Metaflow來自機器學習基礎設施團隊,對內部資料科學家進行調查的結果。他們發現比起底層的架構,資料科學家更在意建模方法的自由度,包括模型的運作、特徵工程以及模型的開發,在許多情況下,資料科學家希望可以在生產中操作模型,以快速地進行除錯或是迭代。

為此,機器學習基礎設施團隊開發了Metaflow,並將Metaflow設計成簡單的Python函式庫。更多內容

 

WebAssembly正式成為W3C推薦網頁標準

全球資訊網路聯盟(World Wide Web Consortium,W3C)宣布三項WebAssembly規範已經成為網頁標準,分別是WebAssembly核心規範、網頁API以及JavaScript介面。

W3C專案負責人提到,機器學習與人工智慧應用越來越普遍,因此網頁平臺能夠支援高效能應用程式很重要,而WebAssembly利用開放網頁平臺技術,擴展了網頁應用程式的種類。

WebAssembly核心規範定義了一個低階的虛擬機器,模擬了許多微處理器的功能,透過JIT(Just-In-Time)編譯和直譯,WebAssembly引擎可用幾乎與原生平臺編譯程式碼相同的速度執行程式。而以WebAssembly格式儲存程式碼的.wasm檔案,類似Java的.class檔案,其包含了靜態資料和操作靜態資料的程式碼區塊,但與Java不同的是,WebAssembly通常是由其他程式語言,像是C/C++或Rust編譯而成。更多內容

 

注意!.NET Core 2.2即將中止支援

微軟公告.NET Core 2.2將在2019年12月23日停止支援,建議開發者立即計畫升級到長期支援版本.NET Core 3.1。

微軟解釋,.NET Core 2.2是2018年12月釋出的非長期支援版本,只支援到下一個版本.NET Core 3.0釋出後的三個月,也就是今年12月23日,之後微軟將不為.NET Core 2.2提供容器映像檔的更新套件。

微軟建議.NET Core 2.2升級的下一個版本為.NET Core 3.1,微軟提到,.NET Core 3.1為長期支援版本,開發者可以直覺地進行升級。更多內容

 

AWS公布雲端防資料外洩、防詐欺工具

圖片來源_AWS

AWS公開4項安全及隱私工具,包括之前傳聞許久的Amazon Detective,可在企業雲端環境發生駭客或惡意程式入侵等安全事件時,自動蒐集AWS環境中所有log資料,並以機器學習、統計分析和圖論(graph theory)建立起資料關聯,加速調查作業的進行。

另一項工具是Amazon 詐欺偵測(Fraud Detection)。AWS是結合Amazon.com 20年防範詐欺交易的經驗、AWS專家及機器學習的全代管服務,協助零售業辨識可能的線上詐欺活動,像是支付詐騙或假帳號。更多內容

 

IDC預測2020台灣科技趨勢:企業若不擁抱K8s,將被多雲環境淘汰

市場調查機構IDC發布2020年臺灣ICT市場10大趨勢預測,指出混合/多雲架構為企業創新的關鍵,是2020年第三大趨勢。根據調查,2019年全球8成企業採用混合或多雲的環境,臺灣則僅有4成6企業採用,且多處於試行階段。IDC歸納企業部署混合/多雲環境遭遇多項挑戰,其中,最大的挑戰就屬相容性,另外,還面臨人才、資安和工作負載調度等挑戰。

IDC表示,容器與K8s可因應這些挑戰。容器與K8s平臺具平臺擴充性,還具高可用性管理介面,以即可自動化平衡負載,近期,不僅公有雲業者一一投入K8s的行列,連硬體供應商像是英特爾、Nvidia等,還有商業軟體也開始支援K8s。IDC指出,K8s成為多雲平臺的共通標準,預期多雲以K8s作為主軸。

目前,臺灣已經有金融、電信和電商業者部署K8s環境。IDC表示,企業若不投入K8s,會被多雲環境淘汰,預測至2022年,全球4成5企業會將應用程式部署在容器化的多雲環境,臺灣企業則7成4部署混合/多雲環境。更多內容

 

AWS推出自家程式碼導師CodeGuru

圖片來源_AWS

繼微軟之後,AWS應用機器學習技術也推出程式碼導師服務CodeGuru,用來自動審查程式碼,其包含可靜態分析程式碼的Reviewer,以及動態分析程式的Profiler,可找出用戶程式碼中最耗費資源的部分,並提供最佳寫法的建議。

CodeGuru由Reviewer和Profiler兩部分組成,CodeGuru Reviewer是以規則探勘和監督式機器學習模型訓練而成,模型結合了邏輯回歸和神經網路,可用來偵測AWS API和SDK的使用,與最佳實作的差異,標記可能產生問題的寫法,像是批次操作的錯誤處理或是執行緒不安全的類別等。Reviewer會尋找程式碼變更,並且同時探勘文件資料進行交互參照,在審查程式碼時,產生新的模型,為用戶程式碼提供最佳實作的建議。更多內容

 

臺灣物聯網資安標章發展上軌道,已有9家業者的22款產品取得資安標準合格證書

為了強化臺灣產品在國際上的競爭力,近年政府帶頭推動資安檢測認證標準,自2018年6月開始,經濟部與國家通訊傳播委員會(NCC)共同發布了物聯網設備資安驗證標章制度,期望帶動臺灣產品資安水準。在這項計畫執行一年半後,在12月6日舉辦的物聯網資安標章成果發表會上,相關單位公布了最新的進展。在物聯網資安認可實驗室方面,已經從去年底的4家增至8家,而取得標章合格的產品,也從原本單一業者的2款產品,增至9家業者22款產品。

從多家業者陸續響應的態勢來看,顯然這項資安標準正開始步上發展軌道。更重要的是,自今年12月開始,其中的網路攝影機資安產業標準,已發布成為國家標準(CNS 16120),而未來也將促成國際標準相互認證。更多內容

 

微軟強制Windows 10 1809升級到1909版

圖片來源_微軟

正式釋出Windows 10 1909更新一個月後,微軟於12月宣布將啟動自動升級,強制1809版家用及專業版用戶升級,因為微軟半年後就不支援這些版本了。更多內容

 

行政院5G專網頻譜規劃出爐

國內5G的第一波釋照即將在12月10日展開競標,對於是否釋出頻譜供5G專網使用引發的爭議,行政院終於拍板定案,確定將跟進日本、德國、美國等腳步釋出5G專網頻譜,預計在2021年到2022年間釋照。在此之前,即日起開放外界申請企業專網,進行場域實驗,供未來申請5G專網的評估。更多內容


Advertisement

更多 iThome相關內容