jimmy 的部落格

您在這裡

開源專案需要有人贊助嗎?開放原始碼培力與回饋計畫回顧

去年回顧檢討了一下,公司產自於開源,使用開源,也回饋開源,但客戶是否了解明白我們這樣的選擇?問這種問題的下場,最後問題還是會回到自己身上:除了客戶之外,公司的同仁是否理解這樣的價值和選擇?

唯有明白之後,表達出去、產製出來的東西,才會內建這些精神,AI 都需要對齊價值了,公司同事其實也會需要價值靠攏一下...

也因此從去年8月開始,試驗了一系列方式,來進行公司內部的開源教育訓練培力,並把文件放在新進人員必讀的地方,以讓後續這樣的知識可以當作背景:

討論三個月後的生成式 AI 使用指引

 

今年網路星期二,因為有幸邀請到李怡志老師來講「非營利組織應該用 AI 生成圖像嗎?」演講,才知道各家媒體紛紛開始研擬自己的 AI 使用規則、指引等等,以免旗下編輯和記者無所適從。

雖然我們不是媒體業,然而後續想想因為生成式 AI 用途越來越廣,工作越來越常使用,究竟應該怎樣讓這條路順暢、降低錯誤或傷害他人的風險?我們內部開啟了一些討論,究竟哪些用途可以用,生成式 AI 的文字和圖片應該怎麼應用,有什麼需要注意處。

前期先看著網二投影片中講到的一些各家媒體的準則:

網絡行動工程師的志願服務計畫:NPO網站資訊安全健康檢查

網絡行動科技提供線上的軟體即服務(SaaS)將近十年,從系統伺服器建構,網站架設,到防火牆資訊安全管理等等,都是我們建立安全服務的核心。

因應日漸嚴重的資安議題,也發現坊間許多 NPO 的網站不甚安全,今年(2023)開始,網絡行動科技的 5 位技術同仁決定提供一個志願服務NPO的計畫:NPO網站資訊安全健康檢查

一般來說,資安工作是專業且領域很廣闊的,坊間有各種專業的公司提供各式服務,這些工作非常重要,也值得想要採取進一步資安建設的單位採購、採用這些服務。

然而,以多年提供資訊服務的經驗,NPO 要挑選合適的資安產品通常面臨一些門檻如:組織對於自身資訊安全需求了解不足、組織對採購哪方面的資安服務才有效果沒有足夠基礎知識、組織對於做好資安的想像大多覺得遙不可及。

2024年底,我們將達到 100% 使用再生能源提供網站服務

作為專門服務NPO的公司,除了以我們自己的專業來協力非營利組織改變世界,我們也持續關注與實踐綠色供應鏈,盤點我們的採購與服務流程,而最近調查了公司使用的服務,很榮幸要跟大家分享的是,我們現有的網站與系統服務已經達到了94%的再生能源使用率,而新的網站與系統服務已全面採用再生能源服務,因此這個數字還在增加中。這讓我了解到,其實公司是有機會達成全面使用再生能源目標。

我們的公司雖小,但也需要像其他企業一樣,將一個目標訂出,我們預計在 2024 年底,讓所有的線上服務機房100%使用再生能源。立定這樣目標表示未來我們每使用一個雲端服務,都要妥善調查服務提供者的再生能源計劃,並確保他們具有足夠再生能源規劃、淨零排碳計畫以符合公司的目標,而現在我們正以穩定的步伐往這方向邁進。

我們使用的雲端服務現況

NIST Cyber Security Framework中文簡要分類翻譯

公司治理需要找到一個好的方式來綜覽是否各個事務都有做好資安配置,之前網路星期二聽到 Allen Own 演講的內容提到的 NIST Cybersecurity Framework 讓我非常感興趣,畢竟有個框架,才知道怎樣盤點公司狀態,來看我們面對資安事務的準備有哪些方面不足。

 

備份安全性: 使用 OpenSSL 、 Mariabackup 實現大檔案的非對稱加密

網站安全性,其中一個是擁有安全的備份檔案,尤其是資料庫的費份,包含了帳號、密碼雜湊、使用者個資等,更應該注重安全性。該備份不應明碼儲存,更不應放在同一臺主機上的 web 權限可以取得之處,以免網站被攻破時,連帶將你的備份帶走保存;甚至刪除你的原始備份,這樣就完全沒有備份的效果了。

因此,實現備份時,種種顧慮下,第一步一定是將備份的檔案正確的加密,我們建議使用非對稱金鑰來實現這樣的工作,因為非對稱金鑰可以讓系統自動備份時,使用可以公開的公鑰進行檔案加密,就算被竊取走,也不用擔心備份的檔案被解密。需要解密時,使用僅存於少數人中的私鑰解密,讓加密備份安全無虞。

1. 產生非對稱金鑰

使用 Linux 環境,可以使用 OpenSSL 來達成此工作。先使用以下指令產生非對稱金鑰:

openssl req -x509 -nodes -newkey rsa:2048 -keyout private.key -out public.key

該金鑰如前述,public.key 要儲存於伺服器中, private.key 則是存在真正有權限的使用者安全處。

 

自行架設 Joplin Server 同步機器

筆記軟體同步雲端的功能其實有隱私疑慮,例如這裡發生過掃描使用者上傳的筆記內容,Joplin 是一個開源的免費筆記軟體,要同步到雲端目前有很多選擇,而且通通都可以加密後再同步。

因應iOS 14隱私更新,Facebook的企業管理平台改版真的解決問題了?

寫在前面:追蹤廣告成效,真的一定要像Facebook所述都是 Apple 的問題、這麼麻煩嗎?

事實上,netiCRM.tw原本就有內建追蹤功能,想要追蹤廣告成效,根本不用取得消費者個資,不用通過網域驗證,不需要捲入兩大企業的爭執。

Facebook將之塑造成沒有個資,不使用企業管理平台就無法有效投放廣告,就沒辦法追蹤成效,其實這完全是兩回事。至於為何Facebook要這樣做,這只能問問他們了。


netiCRM的內建追蹤展示

* * *

去年、今年鬧的沸沸揚揚的Facebook槓上Apple,近來也影響到我們了。

企業一七捐 - 累積十年的社會企業實驗

說好說滿要做社會企業了,但是要怎麼回饋給社會呢?等了十年,終於在今年的企業一七捐來讓我們實驗這個承諾。核心的想法是,如果想要回饋社會的企業不只我們,但可以拋磚引玉來串連更多資源進來公益領域,是不是便可以讓這個領域茁壯,好完成這個正向循環 - 用網路創造數位公益行動。

社會企業的公益回饋想像

雖然這樣的想法很單純,不過卻是花了我們十年才走到實踐這個專案的路。最早開始,是從 wikipedia 上學習到各種不同的社會企業,其中有個條件最讓我們嚮往:公司賺到的盈餘,並不是完全屬於股東,而是將這股力量拿出來改善社會,進而讓社企原本想改善的議題,有更好的發展。

然而苦惱的過程來了,我們想做的就是耕耘NPO的數位可能,做了這麼多年的NPO網際網路服務、創造了一個netiCRM的服務後,怎樣才能更有效的改善NPO領域的難題?

加密連線的網站,就已經是安全的?

我們常常看到加密連線的網站中(https://** ...  ),嵌入未加密的圖片,瀏覽器就會把原本綠色的「安全」取消,變成不顯示,甚至變成「不安全」的紅色警示。我想不安全的紅色警示很明顯,當然就表示不安全。但今天想聊聊,如果沒有標示不安全、卻也沒標示安全的時候的網站,究竟網站哪裡有問題呢?嚴重嗎?

頁面

訂閱 RSS - jimmy 的部落格