拒絕受駭!美國推行「軟體物料清單」公開軟體組成,採購更安心

開源社群早在做的事,政府終於跟上!資安重災區美國推動將「BOM 物料清單」管理概念延伸至軟體採購,公開標明軟體內程式碼組成與來源,以利抓出潛在資安風險。

作者:林冠廷 | 編輯:OCF Lab|

Photo by Kevin Ku on Unsplash

最近一年來,全球許多政府機關、大型企業所用的軟體都遭受嚴重的駭客攻擊。
2020 年底駭客入侵 SolarWinds 公司 Orion Platform 的產品,美國商務部、財政部、太空總署等數千個政府機關和五百大企業都難逃一劫。今年又發生 Microsoft Exchange 電子郵件伺服器漏洞遭攻擊、美國最大燃油廠商 Colonial Pipeline 被勒索軟體攻擊等事件,讓各國公私部門的資安人員人心惶惶。面對這麼多起重大的資安事件,該如何加強防護措施,把關軟體安全?資安專家和美國白宮皆指向一個解方:把軟體的組成透明化

專文

【數位公民雙週報】企業減碳不知從何下手? Watershed 碳排放分析平台助你一臂之力

「節能減碳賺綠金」近年蔚為企業轉型趨勢,但許多大企業盤根錯節的供應鏈和製造機制,卻讓減碳一起步就走進死路。來看美國的科技減碳平台,如何幫企業分析碳排放量,從改善實務流程,讓減碳成就達成。

整理撰文|陳廷彥、林冠廷;編輯|OCF Lab

企業減碳好難?新工具讓你沒藉口對抗氣候危機

(Photo by Kouji Tsuru on Unsplash )
週報

用 Telegram 保隱私?致命性漏洞使你門戶洞開!

作者 | 林冠廷
實習編輯 |王彥涵
照片來自 |Yuri Samoilov (Flickr)

有用過 Telegram 嗎?就算沒用過但你一定聽過身邊朋友推薦使用 Telegram 讓通訊更安全。由俄國 Durov 兄弟開發設計的通訊軟體,除了主打免費、介面無廣告之外,更大力宣傳通訊的隱私與安全性,官網也宣稱用戶的訊息經過所謂「重度加密」(heavily encrypted)的方式處理。

而Telegram 建立的良好形象,讓它成為香港反送中期間的重要溝通橋梁。但意外的是,Telegram的安全性 並非如官方所說來的滴水不漏,一篇在《Hacker Noon》的文章中,作者甚至批評其為「故意設計成不安全」的軟體。

INSIDE 合作專欄

想滑 Tinder?可以!不過小心踏入狼穴!

作者 | 林冠廷
實習編輯 |王嘉禕
圖片來源 |Sammy Williams @ pixabay

打開交友軟體,跳出一張又一張的照片,開始篩選「喜歡」或「滑掉」沒興趣的人。如果恰巧你喜歡的人也喜歡你, 恭喜!已配對成功,你們可以在更深入了解彼此。Tinder 這種線上交友的方式,開啟了人們對線上人際關係的好奇及癮頭,讓人在足不出戶的疫情期間,也可以享受交友的趣味。但會不會造成另一種隱憂?因為你無法單看手機螢幕上的人,就可以瞭解這個人的個性、品格、習性,究竟是可以好好交朋友的「人」?還是一隻引誘人掉入陷阱的「狼」?

天下合作專欄

防疫之下也別忘了隱私,「臺灣社交距離 APP」打幾分?

作者 |翁佳驥
實習編輯 | 李柏均

衛福部疾病管制署於 5 月 13 日推出的「臺灣社交距離 App」,提供台灣地區使用者接收 COVID-19(又稱武漢肺炎、新冠肺炎)的接觸通知,若收到通知,則表示曾與確診者在特定期間近距離接觸,App 會提醒收到接觸通知的使用者連繫當地衛生局,以減少傳染風險,並讓具有潛在感染風險的使用者,能進行居家隔離或自我健康管理等相應控制措施

等等,它會洩漏我的行蹤嗎?

「臺灣社交距離」畢竟是一款接觸追蹤(contact tracing)的應用程式,既然試圖「追蹤」與確診者的「接觸」,必然會上傳使用者的足跡到某處,才能與確診者的足跡比對。然而,這樣做不就等於暴露使用者的隱私給他人嗎?

很快地,衛福部、專家達人乃至負責研發此 App 的  「AI Labs 臺灣人工智慧實驗室」創辦人杜奕瑾 都撰文解釋這個 App 的運作原理,AI Labs 亦將完整的技術白皮書公開放在存放程式源碼的 GitHub 平台上。「臺灣社交距離」的數據完全以「去中心化」方式傳遞,因此傳遞內容不會集中存放於同一處;再者,使用者的足跡資料會經過「去識別化」處理,也就是不會有人知道上傳足跡的確診者究竟是誰,因此不會發生如五股獅子會前會長到訪茶室,傳得人盡皆知的事件。此 App 的機制設計,也就是演算法,既能滿足疫調追查與比對確診者足跡的需求,亦可顧及個人隱私。

專文

面對商業利益的誘惑,學術期刊打算監測用戶存取行為?

作者 | 林冠廷
實習編輯 |王彥涵
照片來自 |Library Bookshelf (Flickr)

自從網路普及開始,線上學術資料庫逐漸成為學生、研究人員查詢資料的重要平台。但是,學術資料卻成為了出版社牟利的工具,本應該是幫助知識互通、促進人類學術發展的資料庫,卻變質成為壟斷、監控的推手:握有臺灣各大期刊版權的華藝資料庫,更被爆出將「國家」等字眼改成「臺灣」,以順應中國審查;國外知名出版社 Elseier、Wiley 更聯手其他廠商,與大學圖書館談條件,企圖把學術資料庫打造成監控師生學術自由的環境,以滿足自身利益的病態手段。

INSIDE 合作專欄

【數位公民雙週報】劇看完了,情況改善了嗎?開源配備守護消防員安全,讓火神安全下莊

經高溫燃燒後,物品釋放的毒性氣體是消防員安全六大危害之一;迷失在火場中更容易造成殉職遺憾。配戴開源小物 Pyrrha 可偵測毒氣和人員生命跡象,減少憾事發生機率。

整理撰文|陳廷彥、林冠廷;編輯|OCF Lab

火神不哭!開源專案改進消防員安全

週報

【專題】開放政府、開放國會計畫,進擊的公民讓政治變得更公平!

「民主」不再是理想、「開放」不再是口號!

隨著臺灣政治歷程不斷成長,專斷的政令佈達、只與特定廠商或專家商討的政策已不再能敷衍民眾,但向上溝通的管道卻如此不便,以致對社會政治參與有強烈渴望的人民有志難伸。


然而,事情的轉機出現在 2019 年。

唐鳳政委辦公室與國發會從該年的 OGP Global Summit(暫譯:開放政府夥伴聯盟全球高峰會)回國後,開始著手規劃秉持透明、參與、課責 (accountability)、涵容(inclusion)四大宗旨的「國家行動方案」,致力讓臺灣政府跟進國際組織腳步逐步開放,並創造民間參與政策擬定施行各階段的契機,將原本單向聽取或甚至對立局面,轉為共存共榮、共同協商議政的合作夥伴關係。

究竟什麼是 OGP 組織?國家行動方案具體為何、要花多久達成?最重要的是,個人與民間組織該怎麼參與,發揮自己的公民責任和能力,偕同政府讓社會政策正向運行?

以下系列文章詳解疑惑,歡迎閱讀分享。

專文 未分類

還是閉嘴最安全!語音辨識偷你資料的 6 種方法

連開個冰箱都可能落入收集資料的陷阱!來看 AccessNow 整理的六種毛骨悚然語音辨識服務,現代人到底還能怎樣保護自己?

作者:林冠廷 | 編輯:OCF Lab|

Apple 在 6 月的全球開發者大會(WWDC)中,宣布開放第三方廠商使用和內建Apple 語音助理 Siri 服務。透過這種方式,蘋果公司將搶下更多語音市占率,與 Google 和亞馬遜一戰高下,但隨之而來的隱私疑問,也讓輿論焦點回到科技公司使用語音服務的道德問題。科技人權組織 AccessNow 便在 7 月 1 日以 CC BY 授權發表報告,摘要了六種令人不安的語音辨識服務。

專文

透明、可修改的自由軟體,是使用者軟體安全的最後防線

作者|林冠廷
實習編輯|王彥涵

當大家都在迎接新年第一天時,iPhone 也沒忘記準備「新年禮物」,有 iOS 4 版本的用戶表示元旦這天鬧鐘居然沒響?據調查顯示,成千上萬的使用者因此遭受到波及。這次事故也不是蘋果首次出問題,根據《紐約時報》報導,早在先前就發生過多起事件。

在軟體開發過程中,若功能運作錯誤,我們稱之為「臭蟲」(Bug)。這個臭蟲可能是不會影響用戶體驗的芝麻小事,也可能是造成人身安全的重大風險。雖然在軟體發行之前,公司內部都有一套測試及修復錯誤的一套機制,但一般用戶不會知道:還有哪些重大漏洞沒被發現?是否會害使用者落入陷阱,產生資安危機?

INSIDE 合作專欄