美國國家核子安全署的外包商Sol Oriens上個月遭駭導致資料外洩,媒體CNBC宣稱是勒索軟體REvil背後組織所為,駭客已在暗網公布Sol Oriens員工個資以及國防合約
#看更多 https://www.ithome.com.tw/news/145021
軟體外包合約 在 iThome Facebook 的精選貼文
軟體外包合約 在 Taipei Ethereum Meetup Facebook 的最讚貼文
📜 [專欄新文章] 如何將 Gitcoin Grants 實踐到現實社會的公益活動
✍️ Johnson Chen
📥 歡迎投稿: https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium
Gitcoin Grants 是開源軟體的募資平台,以民主的方式分配基金池裡的資金給獲得較多人支持的線上開源專案,簡單來說是一個公共財的競爭市場。這個機制有沒有可能在現實生活的社區中實踐,讓對社區有貢獻的地方團體能夠以更有效、更民主的方式分配政府提供的補助金,這是本篇文章將討論的主題:在地方社區實踐公共財市場的核心基礎 — 數位社區貨幣。
社區貨幣(或地方貨幣)顧名思義是限制在一特定地理區域內能夠使用的貨幣,如果要將社區貨幣用作促進地方上的公益活動,那它應該怎麼被發行?
社區貨幣的發行方式
讓我們先假想一個地方社區,居民約五萬人口,一組軟體營運團隊準備發行 3000 顆社區貨幣。首先,既然是為了促進公益活動,所以就把 3000 顆貨幣發給地方上已經具有公信力的團體,如社區發展協會、老人服務中心、地方創生組織等,假設三個團體分別持有了 1000 顆社區貨幣,他們必須想辦法發給地方上的居民,例如到社區發展協會幫忙的居民、在服務中心幫助老人的志工、在創生基地打工的學生等,如此下來,首次發行的 3000 顆社區貨幣就會慢慢流向地方上的個人。
一個重點是,這裡的社區貨幣並沒有與新台幣做連結,也就是說,不會有一個窗口讓居民能夠將社區貨幣換成新台幣,或者將新台幣換成社區貨幣。
獎助金爭奪賽:一個公共財的市場
總有一天,原本各自擁有 1000 顆社區貨幣的地方團體會將社區貨幣發完,此時,社區貨幣在居民之間流通,要如何再回到地方團體手上呢?那就是辦一場「獎助金爭奪賽」讓貨幣回流到籌辦公益活動的組織。
這場爭奪賽就是一個公共財的競爭市場,會從一筆政府的獎助金(假設是 10 萬元新台幣)開始,地方上的公益團體必須到平台上登入自己的公益活動內容,在一定的競賽期間內,居民可以將手上持有的社區貨幣投給自己偏好的公益團體,假設社區中有三個老奶奶將 5 顆社區貨幣投給了老人服務中心舉辦的健康養身操活動(Grant 1),有一個文藝青年將 10 顆社區貨幣投給地方創生組織舉辦的藝文活動(Grant 2),有一個高中生將 5 顆社區貨幣投給另一組創生團體想舉辦的海灘派對(Grant 3)。
此時,就像 Gitcoin Grants 一樣,地方團體能夠獲得居民投給他們的社區貨幣之外,還能配對到一筆新台幣的補助金,補助金的金額將會依照一條數學公式去分配總金額 10 萬元的新台幣,依上段的例子:健身操活動(Grant 1)將獲得 15 顆社區貨幣及 75000 的新台幣,藝文活動(Grant 2)將獲得 10 顆社區貨幣及 16666 元的新台幣,海灘派對(Grant 3)將獲得 5 顆社區貨幣及 8333 元的新台幣。詳細的分配方式請參考 Quadratic Funding。
技術困境
這個社區貨幣使用以太坊的智能合約來開發,會面臨到兩個問題:
以太坊的 gas fee 怎麼處理?
如何限制社區貨幣只能在該社區中使用?
以太坊交易費問題
這裡需要做到的一點是,使用社區貨幣的居民不需要持有以太幣就能進行社區貨幣的轉帳。這裡我目前參考 argent 的智能合約採取的作法,他們是參考 EIP-1077 來達到 ETH-less 的錢包帳戶。
依我的理解,可以將以太坊的手續費外包給第三方去支付,套用在社區貨幣的場景,會有一筆資金負責營運整個社區所有的交易費,這筆資金可以是由社區籌資負擔或是由地方政府負擔,但在技術上必須能做到由第三方幫忙支付交易費的功能。
限制社區貨幣只能在社區中使用
這是比交易費還要棘手的問題,依據我在 Ethereum Research 上發起的討論:How to Implement Digital Community Currencies with Ethereum?,總結得到的答案可以分成兩類:
會員制
地理柵欄
會員制
這是比較可行的方式,可以利用 EIP-1261 Membership Verification Toke 來製作合約。KYC 的部分最踏實的方式就是請居民親自拿身分證來作驗證,或者用比較方便的方式,由一個已經是會員的人推薦新人,再由另一個會員驗證新人的身分。
地理柵欄
這部份請參考這位大大正在做的事情,我認為這是長期可以期待的技術,但在短期可能還是以會員制的方式會方便許多,也可以先做好從會員制轉換成地理柵欄的準備。
圖片來源:以太坊官網
結語
有關社區貨幣的研究,可以參考我的另一篇:從竹山光幣談社區貨幣未來的可能性。
數位社區貨幣的計畫日前在 g0v 零時政府完成首次提案,期待對這個議題有興趣的以太坊開發者的參與,我是提案人 Johnson,歡迎至 g0v 的 slack 頻道 #dcc 中與我聯繫,謝謝!
如何將 Gitcoin Grants 實踐到現實社會的公益活動 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.
👏 歡迎轉載分享鼓掌
軟體外包合約 在 范疇文集 Facebook 的最佳貼文
讓駭客決定數位身份證發行日
內政部原定10月份上路的「數位身份證」(eID),因遭到國內上百位資安專家、達人之質疑,或許會延後。但是,從政府對各界質疑的反應模式來看,還是在沿用老舊的官場思維行事,倘若相關部門和執行人士不能跳脫框框,功能包山包海的「數位身份證」,輕則曠日費時、補補貼貼、尾大不掉,重則帶來國際未曾見過的資安災難。
有沒有解決方案?當然有,而且是全球至今最可靠的方案,而且花很少錢,而且可從眾多良莠不齊的開發商和科研單位內自動淘汰不適任方。
這辦法極其簡單,而且我很奇怪政府主辦單位為何早先沒有採用這個辦法?那就是:讓全球的駭客來決定台灣的「數位身份證」什麼時間點上路。
辦法如下:
1. 將內政部主張的16大數位服務功能,依資安風險分為三類:高風險(如護照簽證、公投連署、通信、不動產交易、稅務通關、貿易金融),中風險(年金、勞保、遺囑等),低風險(如交通監理、車籍、就學與教學、總總社福)。具體分類,可通過資安界意見調查完成。
2. 第一期:推出低風險功能樣證,徵求少量自願公民,如1000人-10000人,若需要也可集中地理範圍,實驗性使用3-6個月。事前,向全球駭客發出武林英雄帖,總獎金1百萬美元,全球駭客自由參加(含中國駭客),提交「抓蟲報告」(Bug Report), 截止日以總獎金除以總蟲數,派發獎金。
3. 第二期:第一期被抓出的Bug自認為修復後,重複第一期,再來一次全球武林帖,只是這次樣證內加入中度風險的項目。
4. 第三期:重複第二期,但此次加入高風險項目。
5. 第四期:可全面換發經過全球駭客打臉過的數位身份證,但新證只含低風險項目。一年後,若未發生重大資安事故,再開通中風險項目,再一年後,才開放高風險項目。
6. 所有外包開發商的合約中,均加入「蟲子懲罰條款」,每被抓到一條蟲,扣款若干。
作者退休前,所創公司有20年的應用軟體系統開發經驗,雖然規模不大,但一向都採用類似上述的資安方案,前期只需要花整個項目的1%-3%成本,但可將後期的風險及維護成本降至最低。
或有人懷疑這套辦法的可行性,讓我和你分享一個秘密:這套「去中心化、大家一起來抓蟲」的方法,微軟公司的比爾蓋茲是其中高手;當年微軟起死回生的「NT操作系統」,就是這樣開發出來的,情景比上述列出的還要冷酷,全程紀錄在《Show Stopper》這本書上,亞馬遜書城還有的買,真誠建議所有軟體業者都讀讀此書。
內政部宣布推動「數位身份證」後,有意見認為應當先在立法院修法才算合憲,但坦白說這太為難立法委員了。也有意見認為應該將規格交給國際的eID 規格制定方審核(如歐盟),但也坦白說,這太相信國際的技術官僚了。
既然是超大型的數位項目,而且還是包含公投、金融功能的「數位身份證」,本來就應該遵循區塊鏈的核心精神 – 去中心化。台灣的政府組織和文化,現在還彌留在「中心化」的陰影中。用「中心化組織」的決策和執行習慣,是做不好「去中心化」項目的,這就像用豬肉是煮不出雞湯的道理是一樣的。
中共當下有260部超級電腦,而台灣只有兩部。若想用兩部超級電腦之力和少量技術高手,就想來保障一張全功能互通的數位身份證背後的數據資安,er…er…er….
「數位身份證」的外包方即使是世界知名的軟體公司,坦白說,我也不相信,因為任何軟體公司,再強能力也有限,也都會留幾手供日後收費。國家的資安,只有交給全球的駭客來檢驗,我才會比較放心。例如前述建議的方案,總抓蟲成本不過500-1000萬美元,佔總開發、發行、配套改造、維護成本相信只是九牛一毛。
這張全球駭客武林帖,或可取名為「3T Global」。3T 就是 – Taiwan, Technology,Trust 三個英文字的縮寫 - 台灣科技可信賴。
這項「百萬美元徵駭客」行動,也會讓台灣在國際上發光,顯示台灣政府的作風及科技感已經超前部署。誰說內政部不能做外交?
政府出政策、出錢,至於項目的推動方,以我有限的經驗,我覺得以「零時政府」這NGO在世界駭客界的地位,可以推動得不錯。
(本文原刊於 2020-06-09 蘋果日報)
軟體外包合約 在 Re: [討論] 外包的軟體合約通常有具體的需求規範嗎? - soft_job 的美食出口停車場
還是目前這些訂製型軟體標案只是人力: 派遣的雇工合約, 需派出多少工程師人力按買方需要做事 ... 5 則是保固後, 使用的事: 軟體外包案好像從1,2,3,4,5 都是模糊不清的, ... ... <看更多>
軟體外包合約 在 第一次程式外包 - Mobile01 的美食出口停車場
如果有程式外包,可以pm給我,多問問不用錢, ... 尤其是技術層面高的程式, 或是轉移性很高應用軟體 ... 有那裡有合約書範例可以參考嗎? ... <看更多>
軟體外包合約 在 Re: [問題] 請問大家這樣的(外包)合約是否合理? - 看板soho 的美食出口停車場
合約要雙方同意才行, 雖然是對方擬定的, 但你可以針對你覺得對你
不利的部份要求修訂, 橋到雙方都能夠接受為止.
除非對方很大, 大到"下港有名聲, 上港有出名", 公信力十足, 你相
信他的公正性, 不然的話要求修訂是很正常的.
※ 引述《mydearall (保持10公分的距離)》之銘言:
: 最近接了一個某公司外發flash網頁的活動案(畫面設計及畫面動態製作),
: 跟我接洽的是一位業務,當下我報的價格他說OK後,
: 他就說 這件案子很急,希望我可以馬上進行首頁設計,
: 在經過三四天修改後,大致抵定了首頁版型,今天跟我要了原始檔(PSD),
: 理由是不知道客戶那邊會不會再做細部修改,他們公司內部改比較快
: 又說因為客戶那邊說怕會來不及,希望我先開始做首頁動態,
: 並請我有空過去簽合約,我就先跟他要了電子檔看
: 推說這部份晚上和合約跟他一起談,打算若合約談不攏就不接了
: 由於之前都是跟熟人接的案子,幾乎是口頭約定就OK了
: 看了手上這份合約內容,覺得有幾項好像不太合理,
: 撇開
: 不曉得他是忘記還是...
: 我看裡面我報價的金額被”無條件捨去法”捨去了尾數之外(雖然只是幾百$)
: 怕是自己太多疑~SO截取部分我覺得有疑問的地方~想請大家幫忙看看
: (有點長~在此先和各位說聲不好意思^^”)
: ──────不好意思以下文字有些長之分隔線───────────
: 3. 甲方於本合約委託乙方所製作之網站之程式/設計、
: 以及因此所生之權利義務關係,
: 包括且不限於本合約第六條、第七條及第八條、第九條所約定之事項等,
: 均僅適用本合約之約定,雙方如欲變更或修改本合約已約定之事項及其約定內容,
: 應以經雙方用印(包括公司章及代表人章)之書面為之,
: 未經雙方以用印之書面所為之修改或變更,
: 不論其內容如何、亦不論是否已記載於雙方往來之電子郵件、
: 傳真或書面中,均不生效力。
: (((合約內容說”程式/設計”但其實我並沒有負責程式部分,是否需要註
: 明承包內容和案件名稱?)))
合約書當中要註明像這樣的描述: 乙方承做甲方所委託之標的物以及
施工驗收標準, 以雙方簽名同意之"xxxx設計規格書"所載明之圖樣所
示及文字內容為憑.
除了合約書外, 還要有一份由你(或甲方)所開的"xxxx設計規格書",
載明你所承做(或甲方所委託)的標的物之圖樣或文字描述, 規格, 以及
驗收標準, 給甲方(或乙方)確認, 同樣都要雙方簽名.
: (((所以這代表-所有來往的EMail或MSN紀錄都不能當成證據嗎?)))
白紙黑字加簽名比較有證據力吧? EMail 或 MSN 的內容都很容易變造,
目前有公正第三方願意擔保並提供這方面的記錄當證據嗎?
: 5. 對於委託之工作,如乙方未依所議定之期限完成交付、
: 所完成或交付之工作成果有瑕疵或錯誤、或有其他違反本合約約定之情形時,
: 甲方得拒絕收受、並得拒絕付款,如甲方及甲方之客戶因此而受有損害,
: 包括且不限於財產上之損害(所受損害及所失利益)、以及商譽之損失等,
: 乙方應負責賠償。
這條的後半段很扯, 建議對方刪了吧, 姑且不論甲方後面要主張損害之
事實就得自負舉證責任, 真的要告成也沒那麼容易, 就甲方委託給你所
要承做的標的物來講, 會不會造成損害早就可以評估了, 事先就能夠決
定要不要給你做, 甲方豈有把自己無法評估的損失風險轉嫁到乙方的道
理? 你又不是在做公共工程, 要負公共安全的責任. XD
: (((瑕疵或錯誤的界定?需要列明或有清楚定義嗎?)))
: 6. 本專案自驗收日起 12 個月內,由乙方負責本專案之相關程式除錯維護,
: 設計修改,以維持本專案;乙方不另行向甲方收費。
: (((12個月的免費維護??!!大改也不用錢??!不是吧?!?!)))
這條更扯. 你一定要主張: 維護範圍以"xxxx設計規格書"的內容範圍為
限. 最多就是可歸因於乙方責任的瑕疵, 乙方需免費修訂. 至於超出
"xxxx設計規格書"的內容範圍之設計或施工上的任何"變更"(包括改字改
色改圖這些"小"動作), 得由乙方另行報價, 由甲方決定是否接受.
不然就乾脆在驗收後另簽維護合約, 維護合約當中載明收費方式及維護
範圍.
不過通常還是難免要配合一下客戶的要求, 做些免費的修改. 只是白字
黑紙保護你萬一被拗得太厲害時, 還可以拿出來當免責金牌.
這還牽涉到原始設計的權利歸屬, 甲方是買斷乙方所設計之標的物的哪
些權利? 著作權歸誰? 老實說太深入我也不是很清楚.
: ------------最重要的重點分隔線-------------------------------
: 五、 製作費用及付款
: 1. 本專案製作金額為新台幣XXXXX 元整。<----被無條件斷腳的可憐傢伙
: 2. 甲方需依專案之進度支付乙方,專案之付方式如下 :
: a. 專案執行確認(甲乙雙方就專案之工作內容、金額、工期確認) :
: 甲方支付乙方30%專案總金額。
: b. 專案內容交付(乙方應製作乙方已依約完成交付之工作明細表及費用明細表、
: 並交付予甲方,核對無誤後) :甲方支付乙方30%專案總金額。
: c. 專案驗收完成(確認工作內容製作無誤後) : 甲方支付乙方40%專案總金額。
: 3. 乙方須開立請款單及發票,向甲方請款,甲方應以電匯方式支付予乙方。
: 4. 甲方依本合約約定無付款義務、或得拒絕付款之款項,不列入結算及支付範圍之內。
: 5. 如乙方因應負賠償責任或其他事由而有應付甲方之款項,
: 不論是否到期或附有條件,甲方均得直接自其應付乙方之款項中加以扣除或保留。
: ---------------------------
: Q1.上述說"甲方支付乙方30%專案總金額",但是沒有明定是確認後多久需支付
: 這是否需要請對方明文補上?
應該是你要提出你所主張的文字描述, 請對方補上.
簽約就收簽約金, xxxx設計規格書出爐, 甲方簽名同意後再收一
次款就開始施工, 等到施工完成請對方驗收, 驗收通過再收尾款. 如果
像軟體的話, 還要在上線後運作一陣子看有沒有問題?, 通常甲方是拆成
驗收跟保固兩階段來給.
至於確認後多久? 這個你可以主張, 要考慮到"xxxx設計規格書"的內容
甲方需要多久時間可以確認? 確認後付款金額的大小需要多久來籌款?
依此推算出合理的付款期限, 就寫在合約裏. 比方說:
自乙方交付"xxxx設計規格書"之日起算, 甲方應於五個工作日以內完成
確認及付款作業. 付款金額: xxx, 付款方式如下: 1 支付現金,
2 匯款到乙方指定帳戶, 3 開即期票.....類似像這樣.
乙方得於確認收到款項後, 即期進行施工. 若因乙方未在約定期限內收
到款項以致於施工進度延誤, 則此屬可歸責於甲方之事由, 乙方免責.
: 02.我只是獨立戶的外包,是否真的需要開立請款單和發票?
: 又 想請教有開立發票請款單與否,對雙方有什麼差別?
主要是報稅核銷, 看公司的制度. 也不是每家公司發包都要求開發票,
有的是要求乙方收款後在一張勞務報酬之類的單據上簽名.
: 03.上述的第4條請問是什麼意思?
: (是"有簽這個合約不代表甲方有義務付錢喔~"的意思嗎?應該是我誤會了吧??!)
甲方是怕乙方亂立名目收費吧? 甲方是表示他只願意付"合約上所載明
範圍內之應付款項"的意思. 其實甲(乙)方把發(承)包標的物, 付(收)款
金額, 付(收)款條件, 付(收)款方式都寫清楚就夠了.
: ------------最重要的重點分隔線-------------------------------
: 九、 合約期間
: 本合約期間從簽約起算至甲方知客戶確認專案驗收完成後12 個月(保固期滿)。
這裏我覺得甲方跟他的客戶的事, 不宜扯到跟你的合約這邊來.
不然甲方萬一藉故推拖到他的客戶那邊去, 那你豈非很無辜?
: -以上-
: (謝謝願意看到最後的各位)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 115.43.13.69
... <看更多>