一周大事：PHP 7.3穩定版強化大量文字與JSON處理。日本F-ISAC分享資安防護實務經驗

PHP 7.3正式釋出，強化大量文字與JSON處理

隨著PHP 7在2015年問世後，官方在2018年底釋出了PHP 7.3穩定版，作為PHP 7第3次功能更新。這次的更新帶來了不少新功能，提升執行效能，修正大量的臭蟲，同時也棄用了部分功能。

PHP 7.3中第一個值得注意的就是彈性Heredoc與Nowdoc語法實作。Heredoc提供了一種添加大量文字的方法，讓開發者不再需要使用像是雙引號的跳脫字元進行轉義，Heredoc以<<<開頭，後面跟著一個記號，最後也會以相同記號加上一個分號結束。

而Nowdoc與Heredoc的行為相似，只是<<<之後的記號必須要以單引號夾住，而且Nowdoc中不進行任何的字串解析。兩者使用相同的規則規範結束記號（Closing Marker）使用，結束記號必須從該行的第一列開始，而且記號必須遵循與PHP中任何其他記號相同的命名規則，只能包含字母數字和下底線，而且必須要以非數字或是下底線開頭。

官方提到，Heredoc和Nowdoc語法很有彈性，字串結束記號不再需要分號或是換行符號，另外，結束記號可以縮排，而在這種情況縮排將會從Doc字串中的每一行被拿掉。更多內容

Windows Server 2019正式支援OpenSSH

微軟近日宣布，Windows Server 2019正式支援OpenSSH客戶端與伺服器端功能。OpenSSH是個客戶端與伺服器端工具程式的集合，可用來執行安全的遠端登入、遠端文件傳輸及公/私鑰的配對管理，它原本是OpenBSD專案的一部份，目前已被廣泛地應用在BSD、Linux、macOS及Unix等生態系統。

微軟先是在Windows 10 Fall Creators Update及Windows Server 1709中預覽OpenSSH功能，並於Windows 10 1803中正式支援OpenSSH。

現在不論是Windows 10 1809或Windows Server 2019都把OpenSSH的客戶端與伺服器端列為隨選功能（Features On Demand，FODs），可在任何需要它們的時候透過Windows Update載入，或是直接將它們預裝至Windows系統上。更多內容

聯發科發表8核手機晶片，搭載最新AI引擎

近期IC設計大廠聯發科技發布最新的Helio P90系統單晶片，採用8核架構，並搭載AI引擎APU 2.0，相比過去的Helio P70和Helio P60，處理速度提升4倍，運算效能高達 1127 GMACs（2.25TOPs），Helio P90搭載的APU 2.0處理器採用融合AI（fusion AI）架構，透過多核多執行緒，能讓手機裝置在極低耗電的情況下，執行複雜的AI任務，以延長電池使用壽命，聯發科技也表示，搭載Helio P90的產品預計將於明年第一季在全球上市。更多內容

優化網站新工具，微軟發表全新UX分析工具Clarity

圖片來源_微軟

微軟近期發表了能夠提供開發人員大規模分析使用者行為的Clarity測試版，將與Google Optimize系列一較高下。

Clarity可視覺化使用者行為，再利用這些資料來改善他們的網站，以最佳化與用戶的交流、轉換及保留，除了能夠回放使用者與網頁的互動之外，也具備傳統的熱點地圖及捲動地圖功能。

微軟指出，打造一個對使用者而言具吸引力且友善度高的網站需要深入地了解使用者的行為，包括使用者的痛點或是他們的需求，而傳統的網頁開發人員則是利用使用者研究與A/B測試來更新網頁經驗，雖然它們是很好的技術，卻也各有限制，例如使用者研究的樣本族群可能無法代表網站的目標族群，或者是A/B測試只能突顯變更之後的差異，卻無法指出原因。

Clarity彌補上述缺陷的方式就是能夠回放使用者在該站上的行為，看看他們在哪些地方卡住了，又在哪些地方很盡興，以期能深入理解使用者的感受。為了保障使用者的隱私，網站傳送至Clarity伺服器的瀏覽畫面遮蔽了所有文字。更多內容

怕AWS獨拿百億美元雲端約，甲骨文狀告美國政府贏者通吃做法

根據外電報導，為了爭食美國國防部高達100億美元的雲端基礎設施合約，甲骨文向專門處理與美國政府之爭議的索賠法院提出投標抗議（Bid Protest）訴訟，儘管該訴訟案的文件並未被公開，但有媒體報導甲骨文指控了參與該合約採購程序的兩名專員涉及利益衝突。

此一讓各大雲端業者磨刀霍霍的合約為美國國防部的《聯合企業防禦基礎設施》（JEDI），將負責替國防部翻修運算基礎設施，以讓它能跟上現代化的IoT、人工智慧及大數據分析等雲端應用，也得整併某些舊有的基礎設施，合約時間為10年，預算高達100億美元。讓各大雲端業者跳腳的則是國防部將採用「贏者通吃」的策略，只有一家業者會勝出，意謂未來10年的國防部合約將由單一業者獨占。不只甲骨文，IBM和微軟也不贊成此贏者通吃策略。更多內容

玉山銀前進交大設置AI研發中心，引進學術人才聚焦4大金融應用

近期玉山銀行與交通大學聯手，在校園內設立玉山AI暨金融科技研發中心，由交大7位資工系和資財系的教授，帶領學校11組團隊，與玉山研發團隊一同研究AI金融科技議題，包括行銷、風險、財富、證券等領域。計畫為期2年，玉山每年挹注1,000多萬元資金。

交大參與教授如多媒體工程研究所所長彭文志，擅長資料探勘、行動社群探勘和深度學習，可藉此預測消費者行為模式以及尋找潛在客戶。資工系教授王昱舜擅長計算機圖學和視覺化設計，研究信用卡盜刷及辨識領域。資財系教授黃思皓專長是機器學習與財務大數據分析，正研究深度強化學習與對抗生成網路，於金融交易決策和精準行銷的應用。另一位資財系主任戴天時的研究主題為智慧型店頭市場交易與理財機器人。更多內容

MLPerf機器學習技術大評比第一次結果出爐

在推出7個月後，機器學習基準測試套件MLPerf根據第一輪由Nvidia、谷歌和英特爾提交的資料，發布了第一次的結果。MLPerf的結果測量了主要機器學習硬體平臺的速度，包括Google的TPU、英特爾CPU和Nvidia GPU，同時這次結果也提供了諸如TensorFlow、PyTorch和MXNet等機器學習軟體框架速度的了解。

MLPerf為一個新興的基準測試套件，提供了衡量雲端供應商和內部硬體平臺的效能的方法，其訓練基準由資料集和品質目標定義，而且同時還為每一個基準使用的特定模型提供了參照實作，雖然MLPerf v0.5包含7個基準測試，但實際上只有5個類別，分別是圖像分類、物體偵測、翻譯、推薦和增強學習。

測量基準是量測將模型訓練到達目標品質所需要的時間，然後將MLPerf時間結果標準化，在單個Nvidia Pascal P100 GPU上執行的未最佳化的參照實作，官方提到，未來的MLPerf基準測試也將包括推理。 MLPerf量測基準分為封閉與開放兩部分，封閉式的主要測試機器學習硬體和框架，需要使用相同的模型以及Optimizer，而開放式則可以使用任意的模型。在第一輪的比較上，各家都選擇先在封閉基準測試較量。更多內容

吳恩達發布企業AI轉型攻略

圖片來源_Landing AI

最近Landing.AI的董事長兼CEO吳恩達（Andrew Ng）於自家部落格中，發布助企業轉型為AI公司的AI轉型攻略（AI Transformation Playbook），吳恩達過去為Google大腦共同創辦人，也曾任職百度的首席科學家。

吳恩達從Google大腦團隊和百度AI團隊，收集了讓Google和百度成為AI公司的關鍵，吳恩達表示，雖然該攻略中的建議是為大型企業打造，但是任何企業還是能夠透過這些指引，成功轉型成AI公司。

攻略中將轉型過程的分為5個步驟，分別是執行先導計畫增加動力、建立公司內部的AI團隊、提供AI訓練、發展AI策略和發展內部和外部的溝通管道。首先建立幾個成功的AI計畫遠比最有價值的AI計畫來得重要，這些先導計畫的成功能夠讓公司更熟悉AI技術，也能說服公司其他人未來投資更多AI專案，但是這些先導計畫不能太小以至於讓人認為不重要，要挑有意義的業務下手。更多內容

若水推出AI數據委外處理服務，讓身障者成為遠距專業影像標註師

趨勢科技董事長張明正創辦的社會企業若水國際，今日宣布推出AI數據處理服務，由100多位受過培訓的身障同胞組成標註團隊，結合自家打造的數據標註平臺、由張明正帶領的數據策略諮詢顧問，來提供影像標註服務，涵蓋智慧零售、工業4.0、精準醫療、安防監控、智慧農業，以及智慧製造等領域。更多內容

國內物流業開始導入區塊鏈技術，提高物流營運效率

艾旺科技發表智慧物流區塊鏈平台，透過區塊鏈分散式帳本、不可竄改等特性，改善物流供應鏈上下游的營運效率，減少大量物流單據的產生，提高運作效率。更多內容

台灣駭客年會聚焦防守與應變策略

圖片提供_台灣駭客協會

一年一度的國際資安大會HITCON Pacific，由台灣駭客協會（Hacker in Taiwan）、CHROOT，以及 iThome電腦報週刊所主辦，在12月13日正式登場，為期兩天。今年大會的主軸在於喚醒資安意識，以及正視我們對於威脅的無知。

大會總召蔡松廷（TT）於活動開場演講當中，談到今年台灣駭客年會（HITCON）舉辦了第十四屆的活動，而HITCON Pacific則是到了第五屆，每年他總是以國內外資安事件頻傳作為開場，他呼籲各界有足夠的資安意識和自我保護能力，不要再出現重大事故來喚起重視。

回顧2018年，蔡松廷特別提到幾個全球等級資安事件。例如，先有臉書爆出多次外洩大量個人資料事件，後有全球最大飯店集團萬豪國際（Marriott）外洩5億顧客資料；在惡意軟體的部份，VPN Filter的肆虐，感染眾多路由器與NAS設備；而在臺灣，半導體代工廠也受到WannaCry變種病毒侵襲，導致產線停擺。

由於資安威脅遍及全球各地，想要提升整體防護，更要積極與世界各國的專家交流，因此，HITCON Pacific今年邀請了25位以上的國內外講者，暢談多種重要議題，涵蓋了網路安全韌性（Cybersecurity Resilience）、物聯網、資安人才培育、威脅情報、硬體安全，以及人工智慧、區塊鏈安全、量子運算威脅。

今年HITCON Pacific大會同時舉辦多場不同形式的活動，橫跨產業交流、資安教育訓練、技術競賽、紙上遊戲。例如，邀集金融從業人員的FINSEC金融安全閉門會議、區分為5大主題CIO圓桌討論會、商業等級藍隊實戰攻防演練課程HITCON Blue Team，以及企業資安攻防競賽HITCON Defense、實際挖掘並發表既有系統漏洞的HITCON ZeroDay漏洞獎勵比賽，同時，大會還別出心裁地舉辦了針對資安人員設計的桌遊活動，透過這套捷克國家網絡與資訊安全局開發的TTX桌遊，與會者可模擬和學習資安事件的應變。更多內容

今年HITCON ZeroDay平臺已有14個組織推獎勵計畫

在今年12月舉辦的HITCON Pacific 2018大會現場，HITCON常務理事翁浩正公布最新臺灣漏洞通報趨勢，以及Bug Bounty獎勵計畫的成果，同時呼籲，要讓漏洞通報能促成正向資安環境發展，企業與通報者的態度都很重要。

目前，Hitcon ZeroDay成立已超過兩年，翁浩正也公布了今年的漏洞通報相關數據。至12月13日為止，HITCON ZeroDay註冊的企業帳號數達350家，比起去年度的250家，成長4成；使用者數量今年已有1,800人，也比起去年的1,200人，增長5成；通報的企業數量，也從2,000家增加至2,600家。更多內容

日本F-ISAC分享資安防護實務經驗

對於國家產業發展而言，資安防護早已成為全球關注重點，成立不同領域的資安情資分享分析中心（ISAC）平臺，則是近年各國的主要作法，其中，金融領域的重要性更是不言而喻。在本月13日舉行的HITCON 2018 Pacific大會現場，日本F-ISAC專務理事鎌田敬介，現場提供了他們的運作經驗，幫助300多個成員，並促進更多的情報與資源分享。

其實，臺灣在去年底已設立了金融資安資訊分享與分析中心（F-ISAC），並委由財金資訊公司負責中心營運，處於發展起步階段，而從這次日本F-ISAC來臺推動的過程，也將成為我國得以借鏡的機會。

先從國家金融層面的角度來看，鎌田敬介指出，他們將日本金融資安架構分成三大層級，包含政策戰略、標準準則與程序運作，當中分別可對應不同的組織機構及執掌畫分。

舉例來說，政策戰略層就像是日本的金融廳、日本銀行等角色，標準準則層包含銀行、證券、保險等協會，至於程序運作層，就是F-ISAC。

在日本F-ISAC的發展上，是從2014年8月正式成立，至今已經超過4年。事實上，該組織的雛形是從2012年開始確立，當時由7家主要銀行發起，目前已有超過363個成員。而且，在委員會成員中，也包含了12個業界的代表。

鎌田敬介認為，面對現在的資安風險，沒有一家業者能有足夠的資源來因應。更重要的是，儘管許多銀行可以部署很好的系統來防禦網路攻擊，但還有不少小銀行沒有資源，如何能讓這些資源可以有更好的分享，就是他們的重要工作。

值得一提的是，為了讓資源分享有更細的畫分，目前日本F-ISAC設立了10個不同項目的工作小組，讓成員可以參與多個不同的小組活動。更多內容

善用AI，避開資安偵測高誤判陷阱

道高一尺，魔高一丈，用這兩句話來形容當前資安防禦的嚴峻局勢，仍然十分貼切，許多企業或組織雖然不惜砸下重金，購買最新進、最受市場研究機構肯定的資安解決方案，當中整合了豐富的威脅情報、黑名單資料庫，以及廠商聲稱的各式人工智慧技術，但終究無法安心。

而在今年HITCON Pacific大會，擔綱第一場主題演講的奧義智慧創辦人邱銘彰，就從「防守端花費越來越多錢，攻擊端竟也隨之賺了越多錢」的荒謬現實，開始談起，他認為，評估產品的關鍵，並非只關注它擋住了哪些威脅，而是在於以何種方法來處理它所無法阻擋的東西，而且這麼做是必須要有成本效益的。

然而，該如何偵測自身無法偵測到的威脅，卻是一個大難題。因此，絕大多數企業會建置安全事件管理系統（SIEM）輔助惡意活動判斷，但是，在實際使用上，資安團隊所需要處理的各種資訊，非常龐雜；就系統發出的警報通知而言，誤判機率很高，可信度嚴重不足；就算有心想要深入調查，在有限的時間和人力之下，也只能以極低比例完成審視；而在突發事件的反應（IR）上，也佔用組織年度資安預算。更多內容