關於 web service測試 ，我們在網路上蒐集到這些相關的討論、資訊與評價

上次跟大家分享了縮短 Release 的價值，用實際的數字來讓大家感受一下，透過縮短 Release 週期所帶來的好處，希望大家也可以實際的試試看縮短 Release 週期，不過在談到要縮短 Release 週期的時候，聽到最多的困擾是，那實際上要怎麼做，才能夠讓 Release 這件事情可以快速並且頻繁的發生呢？

1. 適當的 Task 大小

通常在做任務拆分時，我會希望把 Task 大小控制在 1~3 天能完成的範圍（這就看個人，我個人喜歡至少這個粒度，不過越小越好），就算是一個大功能的局部功能也好，並且這個 Task 在做完之後就可以直接上線，是能跟完全相容現在的系統，在透過系統架構設計，例如 Config 或 Feature Flag 來控制功能是否開放給使用者。

(打完這一部分之後就發現有另外兩件事情可以和大家聊聊，關於任務拆分的處理和如何透過系統架構設計來持續上線程式碼 XD)

2. Code review

Code review 其實是團隊協作中很重要的一件事情，當然如果你們經常直接 Pair Programming 的話就可以省去這一段，我很喜歡 Code review 的一個原因，是因為這是一個討論程式碼實現的很好機會，通常你會有一些具體的例子可以來討論，並且也可以同步團隊成員對於整個系統架構的期望，所以除了確認程式碼是否正確之外，不要浪費這個機會和團隊成員們交流討論，這也是一個偷偷學習別人思路的好時機！另外透過 Code review ，還能確保大家對於整個系統的認知是有跟上進度的，像我們目前團隊就會確保至少有接近 50% 的成員 Approve 之後才能 Merge PR，讓大家在不能 Mob 時也能跟上大家所做的變更。

3. 持續整合、部署

除了人為的 Code review 之外，我通常還會相當依賴 CI Server 來幫我們做各種面向的檢查，從最基本的測試我們就有至少單元測試、整合測試、視覺 (Visual) 測試等等，還有團隊開發一定需要的 Linter 來確定程式碼風格一致，如果更進階一點就是可以做安全性掃描或是程式碼分析，如果做的是 Web 或 App 的開發還可以考慮做一些 Benchmark 來確保系統的執行速度符合預期，既然了解了持續快速部署才是產生價值的最大方式，我們就應該讓所有能自動的就自動化，才能讓人力專注在最需要的地方，剩下的就交給自動化工作來處理就好了

4. 監控

在聊持續部署、快速部署的時候，一個很常見的誤區是很多人以為上線後就結束了，我只要盡量的在 Merge 之前確保做好各種事情，然後想辦法讓 Pull Request 變綠燈，拿到足夠的 Approve，然後 Merge 進去我就馬上趕快開始新的工作。

但其實對於使用者來說， Merge 程式碼之後才算是真正的開始，因為他們才能夠開始使用你所部署的新功能，所以持續部署中最重要的事情是 ”上線之後”，有沒有足夠的監控機制可以知道你系統運作的情形，不只是有一些 CloudWatch 的 Monitor 或是 Centralised 的 Log 管理系統來幫助除錯，甚至你應該要建立一些 Client events 的 Tracking 或是 Funnel 來監控你的系統是不是可以被正常使用，如果有任何異常的時候能在客戶回報前就能發現，現在其實有很多的現成工具可以使用，有些還能夠直接設定自動警示，讓你在系統有流程中斷的時候被通知。

5. 異常排除

在有了足夠的監控系統之後，你有沒有足夠的手段來減輕這些異常對於客戶的影響，舉例來說，假如今天你結帳流程中本來有信用卡結帳跟超商付款，如果今天信用卡公司剛好故障，你能不能透過 Feature Toggle 或是 Config 來暫時關閉信用卡功能，讓使用者還是可以使用其他的方式結帳，這件事情你可以多快完成，它是否需要重新部署才能做到，都會是異常排除一個很重要的指標，當然今天這個例子是客戶端的異常排除，如果今天是 Cloud Service 發生問題時的異常排除也是一個很經點的例子，至少也要有跨 Region 的 BCP。

6. 成效追蹤

功能上線之後，你是否能夠知道這個功能對於客戶帶來多大的改善，對於系統有多少的優化，其實都是需要被 ”量化” 追蹤的，很多人都會誤以為用感覺來測量就足夠了，沒有實際的量化其實很難評估回顧一個新功能的規劃是否產生了正確的價值，還是其實一切都是感覺良好，例如你更新的購物流程的畫面，是否實際對整個流程的轉換率有所提升，還是只是單純的變好看但對業績沒有幫助，這些其實都是需要很赤裸的被量測，才能真正的作為疊代的依據，找出團隊目前的方向和規劃方式有沒有問題。

我覺得在敏捷開發中很容易被誤解的是，很多人以為只要用了對了方式（或是大家都在用的方式），就可以讓產品快速開發、上線並疊代，跟上那些新創獨角獸的腳步，卻忽略了這些其實都是軟體的技術基礎硬實力，通常大家只會跟你說他們使用某種方法帶來很多成效，但不會透露背後做了多少的基礎改善，所以要小心就算所有團隊成員心態正確，老闆觀念正確，沒有相對應的硬實力，敏捷也只是空談，當然，如果你想要改善軟體開發硬實力也不是不可能，我推薦最簡單直接的方式就是找 91 敏捷開發之路

你在做持續 Release 的時候也有遇到什麼樣心得或痛點嗎？歡迎你也分享一下你對這件事情的看法喔！粉絲團默默的快 1000 人了，我也開始打算來個每週固定更新，如果你覺得我的分享不錯的話，歡迎你也對我的粉絲團按讚喔！

後疫情時代的網安防護之道：以正義 AI 壓制邪惡 AI

作者 Evan | 發布日期 2020 年 09 月 08 日 8:15 |

進入後疫情時代，隨著人們依賴線上應用程式加重，益使網路犯罪更有利可圖。如同美國知名銀行大盜威利‧薩頓（Willie Sutton）解釋他為什麼搶銀行：「因錢就放在那裡！」如果身處現代，他肯定成為鎖定銀行、聯邦機構、航空公司和零售商網站的網路犯罪份子，因為錢就在網路。據 2020 年《Verizon 資料外洩調查報告》，有 86% 資料外洩是出於經濟動機。如今，由於社會有如此多活動都是線上進行，因此網路犯罪已成為最常見的犯罪類型。

網路安全服務供應商 Herjavec Group 估計，到了 2021 年，網路犯罪每年帶給世界的損失將從 2015 年的 3 兆美元上升超過 6 兆美元，但這麼大的數字可能看起來有點抽象。舉個例子，相信讀者立即就能感受到網路犯罪的嚴重性。在實體世界，犯罪份子根本不可能在同一天搶劫某城市的不同對象。但在虛擬世界，這種事情不但可能，甚至可以一口氣洗劫整個國家（甚至跨國）的每戶人家。

AI 自動化攻擊促使「網路犯罪即服務」成為熱門暗黑生意

如今最常見的 Web 攻擊類型莫過於憑據填充（Credential Stuffing）攻擊。亦即網路罪犯會從資料外洩竊取密碼，並使用工具自動登錄到其他網站每個相對應的帳號，以接管這些帳號，並竊取資金或資料。之所以能發生這類所謂「帳號接管」（Account Takeover，ATO）事件，是因為人們經常在不同網站重複使用相同的密碼。總之駭客用自動化憑證填充手法測試竊取到的使用者密碼，可提升並加快解鎖使用者帳號的成功率與速度。可怕的是，網路犯罪分子可從每起資料外洩事件獲得數十億組使用者密碼，這使網路犯罪成為蓬勃發展的專門生意，AI 技術更讓大規模自動化攻擊成為可能。

當前抵禦憑證填充攻擊的最常見防禦措施之一就屬 CAPTCHA 驗證碼機制。CAPTCHA 是在幾十年前發明的，試圖提出一種人類應該覺得容易但對機器人會很困難的挑戰式驗證（如變形字元）防止網路機器人攻擊。不幸的是，AI 化網路犯罪已扭轉這局面。Google 幾年前進行的研究發現，基於機器學習的 OCR 光學字元辨識技術，可輕鬆破解 99.8% 的 CAPTCHA 挑戰式驗證。

AI 技術早創造用來更快破解密碼，機器學習可辨識最佳攻擊目標，並用來優化網路犯罪的供應鏈和基礎設施。我們見識到網路犯罪分子的回應速度快得令人難以置信，他們可在幾分鐘內關閉並重啟挾帶動輒數百萬筆交易量的攻擊。他們透過完全合法的攻擊基礎設施，以及合法商業世界流行的 DevOps 營運開發技術做到這點。這並不足為奇，因運行這種犯罪系統類似運行大型商業網站，且網路犯罪即服務（Cybercrime-as-a-Service）現已成為一種常見的「商業模式」。隨著時間推移，AI 進一步注入這些應用程式，以協助達到更大規模，並變得更難以防禦。

透過廠商服務打造 AI 自動化安全防禦機制

我們該如何防範這種自動化攻擊？唯一可行的答案就是打造自動化防禦機制。但正確因應之道不會是僱用大型 AI 團隊，就像你不會僱用密碼專家團隊。因為這麼做，永遠也達不到可抵禦不斷進化發展的網路犯罪攻擊所需的功效、規模和可靠性。相反的，最好答案是堅持將你使用安全產品與組織資料相整合，以便讓 AI 發揮最大功效。然後可要求供應商對假陽性和假陰性誤報及其他挑戰負責。畢竟 AI 不是萬靈丹，僅將 AI 用於防禦還不夠，必須有效才行。

使供應商對效用負責的最好方法就是根據投資報酬率（ROI）評估。網路安全愈來愈能發揮分析和自動化問題的作用，全在於可更精細衡量各方績效。當防禦性 AI 系統產生假陽性誤報時，客戶投訴就會增加。如果出現假陰性誤報，則 ATO 事件會增加。隨著網路犯罪分子使用自己 AI 政策進行迭代更新時，企業還可追蹤許多其他中介評量指標。

相信你應該會對後 COVID 時代網際網路將爆發一場正義 AI 與邪惡 AI 的大戰而感到驚訝，不論如何，分別有好消息與壞消息。首先壞消息是，很大程度邪惡 AI 早在全球各地掀起戰端。當今的主流零售網站，約高達 90% 登錄來自網路犯罪工具。

但也許當前世界還沒瓦解，也算是個好消息吧。這是因整個產業朝正確方向發展，不但學習更快，並且許多組織已採用有效 AI 防禦措施。但在技術開發、產業教育和實踐方面還有更多工作要做。我們不應該粗心忘記的是，當前像全美實施的「就地避疫」（Sheltering-in-Place）政策，也等於給網路犯罪分子更多的時間在電腦前作怪。

資料來源：https://technews.tw/2020/09/08/how-ai-will-automate-cybersecurity-in-the-post-covid-world/?fbclid=IwAR1FeaMoEw6qJeKoYuVu7f-Y1cHD3qEMTam831GqWVdFEZSGglcZ8HAM9j0

後疫情時代的網安防護之道：以正義 AI 壓制邪惡 AI

作者 Evan | 發布日期 2020 年 09 月 08 日 8:15 |

進入後疫情時代，隨著人們依賴線上應用程式加重，益使網路犯罪更有利可圖。如同美國知名銀行大盜威利‧薩頓（Willie Sutton）解釋他為什麼搶銀行：「因錢就放在那裡！」如果身處現代，他肯定成為鎖定銀行、聯邦機構、航空公司和零售商網站的網路犯罪份子，因為錢就在網路。據 2020 年《Verizon 資料外洩調查報告》，有 86% 資料外洩是出於經濟動機。如今，由於社會有如此多活動都是線上進行，因此網路犯罪已成為最常見的犯罪類型。

網路安全服務供應商 Herjavec Group 估計，到了 2021 年，網路犯罪每年帶給世界的損失將從 2015 年的 3 兆美元上升超過 6 兆美元，但這麼大的數字可能看起來有點抽象。舉個例子，相信讀者立即就能感受到網路犯罪的嚴重性。在實體世界，犯罪份子根本不可能在同一天搶劫某城市的不同對象。但在虛擬世界，這種事情不但可能，甚至可以一口氣洗劫整個國家（甚至跨國）的每戶人家。

AI 自動化攻擊促使「網路犯罪即服務」成為熱門暗黑生意

如今最常見的 Web 攻擊類型莫過於憑據填充（Credential Stuffing）攻擊。亦即網路罪犯會從資料外洩竊取密碼，並使用工具自動登錄到其他網站每個相對應的帳號，以接管這些帳號，並竊取資金或資料。之所以能發生這類所謂「帳號接管」（Account Takeover，ATO）事件，是因為人們經常在不同網站重複使用相同的密碼。總之駭客用自動化憑證填充手法測試竊取到的使用者密碼，可提升並加快解鎖使用者帳號的成功率與速度。可怕的是，網路犯罪分子可從每起資料外洩事件獲得數十億組使用者密碼，這使網路犯罪成為蓬勃發展的專門生意，AI 技術更讓大規模自動化攻擊成為可能。

當前抵禦憑證填充攻擊的最常見防禦措施之一就屬 CAPTCHA 驗證碼機制。CAPTCHA 是在幾十年前發明的，試圖提出一種人類應該覺得容易但對機器人會很困難的挑戰式驗證（如變形字元）防止網路機器人攻擊。不幸的是，AI 化網路犯罪已扭轉這局面。Google 幾年前進行的研究發現，基於機器學習的 OCR 光學字元辨識技術，可輕鬆破解 99.8% 的 CAPTCHA 挑戰式驗證。

AI 技術早創造用來更快破解密碼，機器學習可辨識最佳攻擊目標，並用來優化網路犯罪的供應鏈和基礎設施。我們見識到網路犯罪分子的回應速度快得令人難以置信，他們可在幾分鐘內關閉並重啟挾帶動輒數百萬筆交易量的攻擊。他們透過完全合法的攻擊基礎設施，以及合法商業世界流行的 DevOps 營運開發技術做到這點。這並不足為奇，因運行這種犯罪系統類似運行大型商業網站，且網路犯罪即服務（Cybercrime-as-a-Service）現已成為一種常見的「商業模式」。隨著時間推移，AI 進一步注入這些應用程式，以協助達到更大規模，並變得更難以防禦。

透過廠商服務打造 AI 自動化安全防禦機制

我們該如何防範這種自動化攻擊？唯一可行的答案就是打造自動化防禦機制。但正確因應之道不會是僱用大型 AI 團隊，就像你不會僱用密碼專家團隊。因為這麼做，永遠也達不到可抵禦不斷進化發展的網路犯罪攻擊所需的功效、規模和可靠性。相反的，最好答案是堅持將你使用安全產品與組織資料相整合，以便讓 AI 發揮最大功效。然後可要求供應商對假陽性和假陰性誤報及其他挑戰負責。畢竟 AI 不是萬靈丹，僅將 AI 用於防禦還不夠，必須有效才行。

使供應商對效用負責的最好方法就是根據投資報酬率（ROI）評估。網路安全愈來愈能發揮分析和自動化問題的作用，全在於可更精細衡量各方績效。當防禦性 AI 系統產生假陽性誤報時，客戶投訴就會增加。如果出現假陰性誤報，則 ATO 事件會增加。隨著網路犯罪分子使用自己 AI 政策進行迭代更新時，企業還可追蹤許多其他中介評量指標。

相信你應該會對後 COVID 時代網際網路將爆發一場正義 AI 與邪惡 AI 的大戰而感到驚訝，不論如何，分別有好消息與壞消息。首先壞消息是，很大程度邪惡 AI 早在全球各地掀起戰端。當今的主流零售網站，約高達 90% 登錄來自網路犯罪工具。

但也許當前世界還沒瓦解，也算是個好消息吧。這是因整個產業朝正確方向發展，不但學習更快，並且許多組織已採用有效 AI 防禦措施。但在技術開發、產業教育和實踐方面還有更多工作要做。我們不應該粗心忘記的是，當前像全美實施的「就地避疫」（Sheltering-in-Place）政策，也等於給網路犯罪分子更多的時間在電腦前作怪。

資料來源：https://technews.tw/…/how-ai-will-automate-cybersecurity-…/…

這次台南民宿改造的影片全部播完啦！
從廁所、大廳、到最後的三間房間
大家最喜歡哪個部分的設計呢 🙂
.
想要打造理想的生活空間嗎？歡迎到 Lo-Fi 官網了解服務方案！
首頁 ▶️ https://reurl.cc/MvENM4
服務介紹 ▶️ https://reurl.cc/aryGM7
立即預約 ▶️ https://reurl.cc/KkgQOy
.
【限量測試販售｜Lo-Fi House 聯名風格油漆組】
http://sho.pe/lofihousepaint-025
.
【How Chill Inn X Lo-Fi House】
旅行的三種方式， Let’s Chill Together！
🔹活動時間：影片上映後~8/31
🔹活動內容：活動期間內，只要入住「現代工業」、「波西米亞」、「台南復古」三間風格套房其一，完成房間專屬任務後即可獲得專屬禮物！（每間房間的任務、禮物都不一樣！）
🔹活動獎勵：3間房間皆設有「500元住宿折價券X3、房間專屬禮物X10」的禮物名額，除此之外還能索取Lo-Fi獨家風格明信片哦！數量有限，要搶要快！
🔸訂房網址：https://pse.is/guide025-1
＿

來看看 How Chill 老透天厝民宿大廳改造
https://lofi-house.pros.si/try025-2
來看看 How Chill 民宿三間不同風格的廁所改造～
https://lofi-house.pros.si/try025-1
.
💎 加入 Lo-Fi House 會員大家庭 ▶ https://pse.is/member-025
.
📌 馬上填單讓 Lo-Fi House 幫你改造 ▶ https://reurl.cc/KkgQOy
📌 Lo-FI の 官方網站：Web ▶ https://reurl.cc/MvENM4
📌 Lo-Fi の 生活日常：IG ▶ https://pse.is/IG-025
📌 Lo-FI の 居家知識：FB ▶ https://pse.is/FB-025
.
每週五 20:00 定時更新～每週三 20:00 *不定時更新
請記得開啟YouTube🔔通知！
合作邀約：lofi-service@lofi-house.com