范疇先生[1]一連寫了幾篇 FUD[2] 文章,警告政府必須立刻開始推動《晶片國安法》[3],否則會被「大數據」實質統一台灣

文章中引用了許多科技詞彙,甚至舉出 Seth Wahle[5] 把 RFID/NFC Tag 打進手臂[6][7],藉此將神奇小晶片偷渡過安全檢查,從此就可以貼身入侵別人手機。這是個很有故事性的劇情,但是將各種不明究理詞彙如「大數據」(Big Data)、互聯網、物聯網、射頻晶片放在一起,只能寫出不入流的科幻小說,范疇的推論經不起科學的檢驗。

Seth Wahle 作為一個 biohacker[8] 嘗試改造人體,但除了 2012 年部份 Samsung Galaxy S II, S III and some HTC phones[9] 等早期版本 Android 手機被發現漏洞外可以直接安裝執行 App 外。以新型手機作業系統而言,Seth Wahle 手臂上的 NFC Tag 要入侵你的手機,必須滿足三個前提

  1. 受害者的手機開啟 NFC 功能,並且已經解鎖。
  2. 受害者點擊了 NFC Tag 觸發的網址連結。
  3. 受害者選擇下載安裝了不可信任的軟體。

不需要 NFC 功能,任何透過郵件、簡訊、即時通訊中的連結,都可能觸發受害者。與其這麼費勁又冒著曝光危險的近身攻擊,又只能用在舊版手機上,現在政府[10]的手段高明許多。前鎮子曝光的 Hacking Team[30],就被查出使用短訊漏洞[11],促使手機安裝 RCS (Remote Control System) 後門監控軟體[12][13]。的確有許多跡象顯示中國政府支持網路入侵攻擊,但是非接觸式智慧卡晶片的缺乏計算能力與儲存空間,沒有主動收集資料的能力,頂多被視為針對某些舊有漏洞來承載惡意代碼的載具。只要讀卡端的系統設計安全,不用擔心晶片卡入侵所有連網裝置。

你需要擔心的是軍事化的網路攻擊。除了巧妙的塞入後門外,政府支持的網路團隊會利用 0day[31] 尚未公告或透漏的系統漏洞,有系統、大規模的採取入侵行動。即便像是 BlackHat 中會有研究人員揭露出像是透過 MMS 等方式[32][33]植入惡意程式到受害者手機,但是等到一般使用者安裝上修正程式前仍有時差,此外政府支持的網路攻擊團隊很可能還掌握更多 0day exploits.

事實上缺乏資安常識與戒心的一般使用者,往往更容易誤裝非官方軟體或者上當被釣魚[14][15],上述透過特定漏洞的複雜入侵手法通常被用來針對特別有價值的對象。

至於范疇先生所提的二代身份證或卡式台胞證等 Contactless smart card,並非神秘的特製晶片,也非具備強大運算能力的電腦。二代身份證是使用 ISO/IEC 14443B (13.56 MHz) [16] 規格的無線晶片,明定可用通訊協定[17]。一般具備 NFC 功能的手機應該也可以讀取,但是在沒有解碼模組的狀況下只能讀出一串亂碼。

與其疑神疑鬼覺得這些小晶片會偷偷的使出外太空科技的「吸星大法」,不如認清卡式台胞證就是中華人民共和國政府用以維穩的工具[18][19]。而且由於設計的限制,以至於難以掛失,要是加密模組被破解或卡片遭到冒用,個人身份[22]被遭到冒用後,就難以補救挽回。

你真正需要留意的反而是具備強大運算能力而且承載個人資料的智慧型手機。這些來自中國的手機漏洞可能被藏在預載的 App 軟體[23][24][25],甚至是韌體固件[26][27]中,即便是台灣製造商,也可能誤用藏有後門的系統元件或解決方案。

作為一個消費者,或許你可以選擇一個採用安全技術的製造商,像是 Android 中的 SELinux (Security-Enhanced Linux)[28] 可以限制 App 或固件只能存取某些資料。但是話說回來 SELinux 由美國國家安全局開發[29],同樣也是老大哥,你要相信那一位?

[1] 范疇 https://www.facebook.com/2020bluesea
[2] Fear, uncertainty and doubt https://en.wikipedia.org/wiki/Fear,_uncertainty_and_doubt
[3] 范疇 – 立院應立即推動《晶片國安法》 – 今周刊 http://www.businesstoday.com.tw/article-content-100207-117624 http://buzzorange.com/2015/07/16/law-for-chip/
[4] 范疇 – 「大數據」實質統一台灣? – 今周刊 http://www.businesstoday.com.tw/article-content-100207-119451 http://buzzorange.com/2015/07/27/big-data/
[5] Seth Wahle https://www.facebook.com/seth.wahle
[6] Hacker Implants NFC Chip In His Hand To Bypass Security Scans And Exploit Android Phones http://www.forbes.com/sites/thomasbrewster/2015/04/27/implant-android-attack/
[7] BBC – Future – The man who hacks phones with an implant under his skin http://www.bbc.com/future/story/20150515-i-hack-phones-with-touch-alone
[8] Biohacking https://en.wikipedia.org/wiki/Biohacking
[9] Android, Nokia smartphone security toppled by Near Field Communication hack | Ars Technica http://arstechnica.com/security/2012/07/android-nokia-smartphone-hack/
[10] 維基解密公布100多萬筆Hacking Team內部郵件 | iThome http://www.ithome.com.tw/news/97348
[11] Dangerous Texts: Preventing SMS Cracking – InfoSec Institute http://resources.infosecinstitute.com/dangerous-texts-preventing-sms-cracking/
[12] 简要分析Hacking Team 远程控制系统-月光博客 http://www.williamlong.info/archives/4293.html
[13] 人手一份核武器 – Hacking Team 泄露(开源)资料导览手册 | WooYun知识库 http://drops.wooyun.org/news/6977
[14] 讲讲最近非常时髦的钓鱼攻击:银行存款杀手(多图) http://daily.zhihu.com/story/4637119
[15] 伪基站 + 钓鱼 = 完美黑产 – 乌云君 – 知乎专栏 http://zhuanlan.zhihu.com/wooyun/19890065
[16] ISO/IEC 14443 – Wikipedia, the free encyclopedia https://en.wikipedia.org/wiki/ISO/IEC_14443
[17] ISO/IEC 14443-4:2008 Identification cards — Contactless integrated circuit cards — Proximity cards — Part 4: Transmission protocol http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50648
[18] BIG BROTHER IS WATCHING YOU – 台胞證免簽卡式化 http://blog.nutsfactory.net/2015/06/17/big-brother-is-watching-you/
[19] 驚曝中共利用二代身份證監控 破解有妙招 | 破解方法 | 追蹤與反追蹤 | 大紀元 http://www.epochtimes.com/b5/13/11/23/n4017563.htm
[20] 二代身份证的隐患 ~ 南方人物周刊 南方人物周刊 http://www.nfpeople.com/story_view.php?id=4768
[21] 二代身份证的意见和建议 http://www.boxun.com/cgi-bin/news/gb_display/print_versiOn.cgi?art=/gb/pubvp/2008/10&link=200810270647.shtml
[22] Identity theft – Wikipedia, the free encyclopedia https://en.wikipedia.org/wiki/Identity_theft
[23] Chinese Android phone maker hides secret backdoor on its devices | Computerworld http://www.computerworld.com/article/2860742/chinese-android-phone-maker-hides-secret-backdoor-on-its-devices.html
[24] CoolReaper Revealed: A Backdoor in Coolpad Android Devices – Palo Alto Networks BlogPalo Alto Networks Blog http://researchcenter.paloaltonetworks.com/2014/12/coolreaper-revealed-backdoor-coolpad-android-devices/
[25] HTC多款手機被發現有官方預留的後門程式 | iThome http://www.ithome.com.tw/node/70135
[26] 翻墙问答﹕台资制手机晶片出问题 http://www.rfa.org/cantonese/firewall_features/taiwan-chips-12122014080202.html
[27] 威盛電子淪為中國間諜?/南方快報《政治修理站》 http://www.southnews.com.tw/polit/polit_00/14/02942.htm
[28] Security-Enhanced Linux in Android | Android Open Source Project https://source.android.com/devices/tech/security/selinux/index.html
[29] Security-Enhanced Linux – NSA/CSS https://www.nsa.gov/research/selinux/
[30] 「義賊」入侵駭客公司Hacking Team,盜取500GB內部文件揭露幕後客戶為各國政府 | T客邦 – 我只推薦好東西 http://www.techbang.com/posts/24578-hackers-are-terrible-hacking-team-stolen-500gb-internal-data
[31] https://en.wikipedia.org/wiki/Zero-day_%28computing%29
[32] 950 million Android phones can be hijacked by malicious text messages | Ars Technica http://arstechnica.com/security/2015/07/950-million-android-phones-can-be-hijacked-by-malicious-text-messages/
[33] Experts Found a Unicorn in the Heart of Android › Zimperium Mobile Security Blog http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

原文發布於: http://www.zhihu.com/question/33197302/answer/56199040

我是 Canonical 台湾台北办公室员工,虽然因为业务关系时常来往中国各省差旅,恐怕无法反映中国地区程序员的体验。

有钱任性的创办人,乐意付钱让人作开源项目,对于信仰自由软件或开放原码的人应该相当有吸引力。差别是你写的每一行代码大概都会是 GPL 或 LGPL 授权,无论是 merge proposal 或是 bug comment 都公布在 Launchpad[1] 供人评阅。有许多機會與技术能力强大的牛人共事,大部分的同事都非常友善、容易合作。在这里身為软件程序员也很容易找到工作、生活的平衡点,反正自愿决定 是否加班。

高度自由,可以弹性的选择工作时间与工作地点。事实上,不少人是在家工作,我自己依照需要独立专注工作的需求,通常一周有一天会在家里工作。在某些团队, 你也能自由选择如何完成你的工作,包含尝试不同的开发语言或技术方案。当然这些自由度与开心程度取决你的直属老板的管理风格与能力。

由于许多人都在家工作,平时透过网路联系,一年半载才有机会见面,这时 team building 就更重要了。早期的时候,每个半年有一次 Ubuntu Developer Submmit,召集全球员工一同旅行到美国或欧洲,进行为期一周的欢乐派对^H^H会议,往往开场的时候得叮咛晚上别饮酒过量,但是会议时间过后肯定可 以在附近的酒吧看到每个团队一边狂欢一边讨论工作。后来由于公司规模太大,召开全员到齐的会议太昂贵。只剩下各个团队举办 Sprint 会议,规模大概两三百人到十几人节奏明快的会议。上回到北京開 Sprint, 结束日前一晚由 Vice President 带著一群老外隊伍,到三里屯酒吧街对饮到清晨三点,隔日开会都醉了。

这个公司有许多有挑战性的工作,也有非常乏味的苦力工作,端视你在那一个事业群、团队下面。每个一段时间会因为创办人兴趣^H^H业务变动,进行组织改 组,当下最大的两个软件工程事业群是 Cloud Dev Ops 与 Ubuntu Engineering and Services。从 Ubuntu Engineering and Services 中的工程团队,又大致分成 Ubuntu Engineering 与 Commercial Engineering。

其中 Ubuntu Engineering 做的是产品项目,像是 Ubuntu Phone, Desktop, Core, Unity8, Mir, Snappy 等等。做产品相对比较具有挑战性,会依据 Mark Shuttleworth 的产品策略或产品经理定下开发蓝图,以 Agile 敏捷开发模式进行产品项目开发 (之前是依据半年的发行周期),每隔两三周都会交付成果。由于代码完全开源,所以开发时候也可能有外界社区加入给予意见。全球的员工透过 CI/Launchpad/IRC/Kanban board 等协作工具合作,需要线上沟通的技能透过文字或代码清楚表达你的思路。除了公司内部小组间的合作,也常常需要回应开源社区的疑问。

至于 Commercial Engineering 则是将产品出货的部门,产品类型多元,可能是 Desktop、Phone 或是神秘的研发计划。其中最枯燥无味的大概就是 Desktop preload project,许多工作已经制式化,日常是不停重复同样的工序,像是验证硬件程序、测试 BIOS、打内核补钉、整 workaround、出貨排期、发行预载版等等。这些工作是确保搭载 Ubuntu 出货的笔记本等硬件功能都可以完美的运行,由于硬件完成的时候因为各种因素会导致驱动无法运作,像是 BIOS 不按照业界规格实践、不同的硬件使用同样的产品代码,导致使用错误的驱动程序、或是新硬件平台时内核支持功能未完善等,这些细节都需要大量人力的调适。这 个部门会适配来自不同合作伙伴的闭源软件,依据授权的不同导致部份代码无法开源。硬件调适与功能验证[7] 是 Canonical 收费的主要服务之一。

即便仍然会有些开发工作,像是做 userspace 的软件问题、LTS 的共用预载版、Firmware Test Suite[2]、Checkbox Job[3]、上述这些重复工序的自动化工具,但是常态仍是重复工序。而空闲程度通常跟出货季节相关,淡季时有些人会兼职当猎头、专研新技术、上网选修课 程、修 Launchpad[1] 上公开的臭虫[8]、翻译物理书籍等等。不过目测接下来一两年的 Snappy Personal Ubuntu 会从 Debian-based 换成 Snappy[4],以及 Unity8 的更换,应该会有一波新的挑战。

Commercial Engineering 也有一些来自不同客户的订制项目,订制项目通常包含大量软件改造与功能适配等工作,相对会多元有趣一些。

目前除了在家工作的员工之外,Canonical 在全球有四个主要办公室 London、Boston、北京、台北,依照事业群或团队的要求,会要求是否进办公室,通常与硬件相关的部门,像是需要实体硬件上测试的 QA 等就必须进办公室工作。各地辦公室的福利不同,北京辦公室就让本地员工来回答吧。由于许多员工都是在家工作,所以有个坑人的规定,是员工必须自备笔记本, 即使在办公室上班,公司仍不配发电脑。

在台北办公室的福利之一是办公室位于 Taipei 101,以下是我的窗景 (四十七楼) –
20150707_184148-01
以上是我的个人体验,你也可以参考一下 Glassdoor 上的员工评价[5],看看其他人的说法。

如果看了这么多之后,你对到 Canonical 工作感兴趣,欢迎查看目前职缺列表[6],在填送求职申请的时候,介绍人一栏写 Rex Tsai. 并私下与我联系,以便告知你应征的技巧或调查职缺内容或向征人团队经理写推荐信。除了帮点小忙外,Canonical 也提供 Referral Bonus Policy,正式通过试用后介绍人会得到 USD 1,000-2,000 的介绍费奖励,依照所需职位的急迫重要性不同,我曾经最高拿过 USD 5,000 的介绍奖金呢!有兴趣请来联系吧。

[1] Launchpad
[2] Firmware Test Suite Kernel/Reference/fwts
[3] Testing/Automation/Checkbox
[4] Ubuntu’s Desktop-Next Switching From .DEBs To Snappy
[5] Canonical Reviews
[6] Canonical | Careers

[7] Certification

[8] BugSquad – Ubuntu Wiki

錯把卡式台胞證號當作統戰手段[1]就搞錯重點了,取得台胞證不代表你取得中國國籍成為中國公民。雖然台灣國籍已比華人以外的外國人來的容易,但是仍須置產有戶口才有資格取得國籍,而大城市如北京、上海更是難以取得戶籍,即便有些人願意取得,仍須跨過基本門檻。

你無須擔心中國以什麼材質發特別簽證,也不用惱怒中國以什麼樣的口吻歡迎或恐嚇台灣回歸。真正需要擔心的是台灣戶籍直接被視為合法中國戶籍的那一天,而你服義務兵役聽從的是中國籍將領,不繳國民保險、健保以及所得稅,而改繳五險一金[4]

台胞證免簽卡式化的是中國政府於俗稱「維穩21條」中的一卡通政策,是 2015 年中共中央辦公廳、國務院辦公廳發布的《關於加強社會治安防控體系建設的意見》[2]中的第十五條

(十五)加強基礎性制度建設。建立以公民身份號碼為唯一代碼、統一共享的國家人口基礎信息庫,建立健全相關方面的實名登記制度。建立公民統一社會信用代碼製度、法人和其他組織統一社會信用代碼製度,加強社會信用管理,促進信息共享,強化對守信者的鼓勵和對失信者的懲戒,探索建立公民所有信息的一卡通制度…

統一證卡是 Big Brother 打造用以維穩[5]的實名政策。卡式台胞證美其名是未來所有實名制度,無論支付寶、淘寶、銀行、線上訂票都可無礙使用,但此制度把銀行、信用卡、酒店入住紀錄、乘搭過的飛機、火車、高鐵、社會保險等等私隱資料連結成「一卡通」,加上二代身份證卡片可以對應指紋,扎扎實實的紀錄每個行為。

這項政策已經逐步進行一段時間了,無論是電信卡、銀行、車票、機票,現在一律都改用二代身份證了,而且許多業務沒有卡片是無法辦理的,只持有台胞證連異地辦理都不行,想躲也避不開。

所以你真的該買 RFID Blocking 錢包了。

[1] 台灣對台胞證免簽卡式化宣佈反應不一 – BBC 中文网 http://www.bbc.com/zhongwen/trad/china/2015/06/150615_china_taiwanese_new_card
[2] 中办国办:探索建立公民所有信息一卡通制度-新华网 http://news.xinhuanet.com/politics/2015-04/13/c_1114955339.htm
[3] https://zh.wikipedia.org/wiki/%E4%B8%AD%E5%9B%BD%E5%A4%A7%E9%99%86%E7%81%AB%E8%BD%A6%E7%A5%A8%E5%AE%9E%E5%90%8D%E5%88%B6
[4] http://wiki.mbalib.com/zh-tw/%E4%BA%94%E9%99%A9%E4%B8%80%E9%87%91
[5] https://zh.wikipedia.org/wiki/%E7%BB%B4%E7%A8%B3

失去一個孩子,讓柯媽媽推動「強制汽車責任保險」立法[1],失去張博崴讓台灣登山界各種法規與山區資源大躍進。杜麗芳女士 (博崴媽媽) 在 2011 年後短短幾年內推動[2]了登山保險、面山教育、推動消防署編列預算強化山區搜救、簡化直升機緊急救援申請辦法、爭取完成開放衛星電話申請、 推動完成「山域嚮導認證管理辦法」之重新修正、推動登山無線電專用頻道、復育原生種台灣高安犬、推動修訂完成緊急醫療救護法,野外救護入法、「臺灣登山教育推展協會」、推動並引進可達高山及時救援的PAC (攜帶式加壓艙)、爭取PLB(個人遇險信標衛星定位器)在台進口及註冊使用開放。

雖然由於缺乏登山經驗,許多政策推動並不契合登山界的期待或想像,加上早年激進的風格干涉現場救援行動,引起基層救難人員的反感。但不可否認杜麗芳女士促進了許多登山資源與政府政策的改進,許多方向都是登山界前輩多年來頻頻抱怨,但是無法改變現況、對政府的各項政策束手無策。就像是野樵生態保育協會楊志明所言[13]

「台灣擁有 258 顆三千公尺級高山,但人們對這豐富的自然資源卻長期一直採取著迴避不願面對的鴕鳥心態」

 

私認為,與對監察院提起陳情書狀外,發起民事訴訟請求國賠是策動政府檢討現行救難機制的唯一手段。很可惜的大部分民意都將焦點放在張博崴自殺式的失誤上,不關心體制與系統的問題,像是判決書中判定南投縣消防局怠於執行職務[3]的理由 –

搜救記錄不確實。每一梯次搜救時間共爲期三天,扣除往返和夜晚,實際搜索不到 半天,所以必須仰賴先後梯次相繼銜接。各梯次搜救人員均攜帶衛星定位儀器,然被告卻 未要求搜救人員回報搜救軌跡,亦未利用相關地圖標示已進行及未進行之搜救路線區域, 以利隨後搜救路線之掌控,卻僅以粗略之管制表記錄搜救隊員敘述式的回報。 而觀諸被告記錄之管制表,100年3月2日下午2時40分即有搜救隊員回報「於水管路T口附近搜尋,無所獲,至溪底搜尋亦無所獲」等文字,此搜救路線之記載,形式上與尋獲張博崴大體之證人黃國書所證稱之搜索路徑相同。

 

本件搜救雖經投入605人次、 搜救犬20隻次、空勤直升機5架次,然經搜救51日迄無所獲,其耗費眾多辛勤人力投入司 晏池週遭、水源路盡頭、帖比倫溪等可依山友資訊及通聯過濾排除之區域,致成效不彰,被告之指揮疏失,實難諉責。

 

相較民間的搜救能力[15],姑且不論是大隊長沒有識別地圖的能力[4],未能整合搜救軌跡虛耗資源。第一次國賠敗訴之後,消防局長以及南投縣長[5]第一反應不是檢討消防改革政策[7],更非補強山區救難能力[6],反而南投縣消防局長林聰吉倡議《南投縣登山自治條例》[5],以隊伍人數、通信裝備、嚮導資格限制入山條件以降低民眾入山機率規避救難責任。

新聞中提到消防消防局長林聰吉認為「獨攀」是山難主因,但是台灣的山難統計資料[9][10]並沒有包含隊伍人數,只包含造成意外原因[8],且入山申請屬於警政署,山區救難則歸屬消防局,入山申請也非依照隊伍造冊,地方消防局無法掌握隊伍人數!更別說大宗佔用消防資源的郊山迷途無須登山證。的以 2013 年的統計為例子,南投縣總共出動十八次,其中意外 (墜落、高山症、受傷、落石) 佔了九件,個人失誤 (遲歸、失聯) 則佔了七件,這些數字還包含山區居民,不僅是登山遊客。從這些昧於現實的主官判斷看來,政府一直是靠著媒體之民氣做決策,而非具體改進現況,做虛工少做實事。林聰吉早在 2008 年的全國登山研討會發表〈南投縣山難搜救工作報告〉,他的「預防山難及提昇搜救效能建議」如下

1. 重建高山嚮導制度
2. 妥善應用原住民天賦
3. 改善山區通訊品質
4. 明訂登山隊伍應攜帶衛星電話及 GPS
5. 整修登山步道,加強路徑標示
6. 增建山屋,避難小屋
7. 寬列預算徵用民間專技人才協助山難搜救
8. 建置專責山難搜救隊
9. 整合性山難搜救講習

冠冕堂皇的建議許多,實際上民間救難單位跟地方消防局一直到這幾年才磨合好合作模式。消防署最近的措施[11]一樣是踢皮球把戲,找了各種單位來開會,卻沒有正視問題。同樣是 2013 年的事故統計資料,比較台灣政府的統計資料[8]日本警察庁[12]的報告,很明顯的看出對於登山者的事故與類型掌握程度的落差。失去了一個孩子,讓博崴媽媽努力了幾年,系統性的研究各國山區救難體制,不計付出的投入得時間與金錢。只有當台灣政府開始認清問題,具體提出統計資料,並嚴肅推論能夠確實降低風險的措施,而非一昧尋找卸責的辦法,這場國賠案才有意義。

編修紀錄:

  • 2015-06-08 09:00 新增林聰吉南投縣山難報告摘要、民間白姑大山失蹤案協尋紀錄與報告。
  • 2015-06-14 00:00 修改標題從「山區救難的國家責任」為「山區救難的國賠責任」[17],移除 「 430~440MHz 」無線電頻率以免誤會。

[1] 強制汽車責任保險 http://www.cali.org.tw/consumer4.aspx
[2] http://zh.wikipedia.org/zh-tw/%E5%BC%B5%E5%8D%9A%E5%B4%B4%E5%B1%B1%E9%9B%A3#.E6.8E.A8.E5.8B.95.E9.9D.A2.E5.B1.B1.E6.95.99.E8.82.B2
[3] 判決書全文 https://www.ptt.cc/bbs/Hiking/M.1433583870.A.EF5.html
[4] 本案律師黃昱中律師意見 https://www.facebook.com/Shinier1118/posts/10203112628254968?pnref=story
[5] 搜救不力國賠後 投縣研擬重罰登山「獨行俠」 http://www.appledaily.com.tw/realtimenews/article/new/20150603/622014/
[6] 扯!山難搜救勤務最多 南投竟發女用登山包 http://www.appledaily.com.tw/realtimenews/article/new/20150604/622786/
[7] 消防員工作權益促進會 理事 王炤程 https://www.facebook.com/photo.php?fbid=864640273609924&set=a.814945111912774.1073741839.100001918777639&type=1&fref=nf
[8] 內政部消防署全球資訊網 http://www.nfa.gov.tw/main/Unit.aspx?ID=&MenuID=501&ListID=3611
[9] 中華民國健行登山會 — 近年來臺灣國內所發生「山難」之發生成因探討 http://www.alpineclub.org.tw/front/bin/ptdetail.phtml?Part=tmd-2
[10] 健行筆記 – 網友心得分享 – 2015國際山地救援交流心得 http://hiking.thenote.com.tw/mynotedetail/555/2015%E5%9C%8B%E9%9A%9B%E5%B1%B1%E5%9C%B0%E6%95%91%E6%8F%B4%E4%BA%A4%E6%B5%81%E5%BF%83%E5%BE%97
[11] 消防署:強化山域事故防範機制 http://hiking.thenote.com.tw/news/detail/4331/%E3%80%90%E6%96%B0%E8%81%9E%E3%80%91%E6%B6%88%E9%98%B2%E7%BD%B2%EF%BC%9A%E5%BC%B7%E5%8C%96%E5%B1%B1%E5%9F%9F%E4%BA%8B%E6%95%85%E9%98%B2%E7%AF%84%E6%A9%9F%E5%88%B6
[12] 平成25年中における山岳遭難の概況 – 警察庁 http://www.npa.go.jp/safetylife/chiiki/h25_sangakusounan.pdf
[13] 關於博崴事件,我們的思考~~ – 登山補給站 http://www.keepon.com.tw/thread-968fb4cf-8805-e511-93ed-000e04b74954.html
[14] 20150528有話好說:國賠267萬!山難搜救不力?消防局不服! – YouTube http://www.youtube.com/watch?v=xd2HBdkq6lo
[15] 1000228-0420白姑大山失蹤案協尋紀錄與報告.pdf https://www.facebook.com/groups/253871808064748/796523050466285/
[16] 近二十年來「登山研討會」探討主題輯錄 http://npms.taroko.gov.tw/File.ashx?attr=eyJ0YWciOiJuZXdzRmlsZSIsImlkIjoiNDM0IiwiZmlsZW5hbWUiOiJmaWxlMTM1MjE3ODkwMTgyNTUucGRmIiwiaXNTd2YiOmZhbHNlfQ%3D%3D
[17] 【世事經眼】山難搜救國賠 對嗎?(楊泰興) – 台灣醒報 Awakening News Networks https://anntw.com/articles/20150610-tKUk
[18]  北院101重國30-山難國賠案(摘錄法院認定南投縣消防局部分) https://www.evernote.com/shard/s72/sh/f295d4fc-29aa-4ade-8942-b0654dafeabc/fe9eb33a1e6bc16b

除了有能力投入無限資源、時間窮盡測試的人膽敢號稱可以做出 bug-free 軟體系統,剩下就是就是天真無知的新手以及狂妄自大的天才。

“I believe that the final bug in TeX was discovered and removed on November 27, 1985. But if, somehow, an error still lurks in the code, I shall gladly pay a finder’s fee of $20.48 to the first person who discovers it. (This is twice the previous amount, and I plan to double it again in a year; you see, I really am confident! )” 《TeX: The Program》, Donald E. Knuth

《The Art of Computer Programming》 的作者 Donald Knuth 已經提供了典範[1],即便如此自信自己的軟體是無蟲的,他仍然送出了超過兩千張支票。

Donald 在幾年前的一個訪問中[3],提供了給年輕人的幾個建議,

1. 眾人追捧、人云亦云的方向更需要特別小心是錯誤的。
2. 盡可能接觸各種領域,那些是組成正確知識觀的基礎。

基於這兩個建議,我對於想要自許法律系統可以 bug-free 的理工人有幾個提問。身為一個軟體工程師就先別爭論那些何謂公平[7]的哲學問題[5]、法律系統[6]的差異、維持社會秩序的制度或是教化功能的監獄政策[8]。針對問題寫好一個 bug report 是基本技能
1. 針對了隨機殺人案例加進了特例,這個特例不會造成對於其他事件的 regression issue ?
2. 能夠定義問題才能寫出好的 test cases. 你是否可以定義出「公平正義」,又你知道公平正義隨著社會演化、地理區域、時間變化的動態概念嗎?
3. 最常發生失誤的不是 code (法律條款),而是人。這些 code 都是由人執行,你知道這期間有多少腦殘錯誤[4]?更別說透過政治手段扭曲法條解釋或是碰到惡意濫用漏洞的 Cracker 了。誰都經歷過研究 seurity vulnerability 寫 exploit 的小屁孩時代吧?有些小屁孩是永遠不長大的。

純粹是覺得理工人應該要寫好 bug report.

[1] BUG,規範,斷言和調試_缺陷管理_領測軟件測試網 http://www.ltesting.net/ceshi/ceshijishu/qxgl/2011/1104/203457.html
[2] Knuth reward check http://en.wikipedia.org/wiki/Knuth_reward_check
[3] My advice to young people http://www.youtube.com/watch?v=75Ju0eM5T2c
[4] 證據為何會說謊?改革鑑定制度、究責失職人員~刑事鑑定制度改革記者會 http://%E8%85%A6%E6%AE%98%E9%8C%AF%E8%AA%A4%EF%BC%9Fwww.jrf.org.tw/newjrf/index_new2014.asp?id=4248
[5] http://en.wikipedia.org/wiki/Philosophy_of_law
[6] http://en.wikipedia.org/wiki/List_of_national_legal_systems
[7] http://en.wikipedia.org/wiki/Justice
[8] http://en.wikipedia.org/wiki/Penology

原文發表於: http://www.weibo.com/p/1001603847877410613709

这问题从 2012年2月前开始, Canonical 聘顾 Jonathan Riddell 全职进行 Kubuntu 项目。2012 后由于无商业客户采用,于是停止官方支持,Jonathan 不愿做新项目,加入新公司 Blue Systems 后继续运营 Kubuntu 社区项目。Canonical 仍将他视为 Kubuntu 项目领导,相对于其他社区版本一视同仁提供相关资源,这包含运算资源等等软件基础建设、差旅补助、活动补助、社区纪念品等。

但是自从一 两年前,Jonathan 对于各种 Canonical 的各种不满加深了沟通上的歧见。像是明文规定的补助项目,他希望可以改善先吃 Pizza 后报帐(2)的程序,Ubuntu 社区联系人明确回应了处理方式与流程。即便这个问题应该到正确的社区列表上讨论,但是他却在无关但是更多开发者关注的 ubuntu-devel 提出,企图引起注意。更别说后来再次否认 Ubuntu 社区联系人提供了餐费补助(3)。

这些重要议题的歧见演化出拒绝合作的行为。各种情绪上不满,让他开始到处找 Canonical 的可疑问题,发布了数个不同的质疑,包含了法律(5)、财务(6)、社区治理办法等等。许多质疑都是相当重要且有建设性,问题是他拒绝接受合作。

从社区委员会通知信中指出

  • 拒绝接受社区理事会研究的结果,虽然他就是当初要求调查的人。
  • 只要不顺心就公开私下讨论邮件。
  • 刻意扭曲对人的说法与立场。
  • 指控其他社区成员不诚实公正。
  • 指控社区理事会冷漠处理。无视整个团队花了许多时间与精力处理他的问题。
  • 在公开或私下沟通中,恶意的对待的社区理事会与 Canonical
  • 以他的领导角色的身份造成社区分歧,而非促成社区合作。

许 多事项都可以在公开的邮件列表看到讨论与他的行为。此处不再列举,研究了这几个月的数个讨论串、长达几百封信的争论。从个人观点看来,这完全符合笔者七年 前写的文章「来乱者去死」(1) 的各种特质。在这种处境下,他已经有建设性无法领导社区。而这个处置是请 Kubuntu 提名另外一位更善于协调沟通的领导,并保留 Jonathan Riddell 其他社区开发者的权限,他仍可提交、评论、继续提出质疑。

这 些离题的纷争困扰社区发者,而非实际的推进项目。当然,最后的处理方式十分令人不快,移除社区抬头的作法也相当伤人。但是目的是 Jonathan 可以继续纠结,但是社区可以不用分心而继续走下去。至于关于 Kubuntu 的社区委员会中的政治与利益问题,可见 Ken Vermette 的分析(7)。

欢迎讨论 Jonathan 的各种指控,包含法律、财务问题等。但是恕我不回应未先爬文的一行仇恨文。授权等问题后续再逐一回应。

利益揭露: 本人任职于 Canonical 担任 Commercial Engineering 部门 Technical Architect.

参考资料

  • [1] http://blog.nutsfactory.net/2008/05/20/how-open-source-projects-survive-poisonous-people/
  • [2] request for some pizzas https://lists.ubuntu.com/archives/ubuntu-devel/2015-February/thread.html#38700
  • [3] https://lists.ubuntu.com/archives/ubuntu-devel/2015-February/038707.html
  • [4] https://lists.ubuntu.com/archives/ubuntu-community-team/2015-May/000543.html
  • [5] Canonical’s IPRights Policy incompatible with Ubuntu licence policy https://lists.ubuntu.com/archives/ubuntu-community-team/2015-May/thread.html#422
  • [6] donation to flavours in 2012 – https://lists.ubuntu.com/archives/ubuntu-community-team/2015-May/thread.html#484
  • [7] Making Sense of the Kubuntu Council Leadership Spat | Ken Vermette https://kver.wordpress.com/2015/05/27/making-sense-of-the-kubuntucanonical-leadership-spat/
  • Information Exchange Between the Ubuntu Community Council and the Kubuntu Council | ScottK might have something to say … https://skitterman.wordpress.com/2015/05/26/information-exchange-between-the-ubuntu-community-council-and-the-kubuntu-council/
  • I think I may be done … | ScottK might have something to say … https://skitterman.wordpress.com/2015/05/26/i-think-i-may-be-done/
  • Ubuntu将Jonathan Riddell赶出Kubuntu_Linux伊甸园开源社区-24小时滚动更新开源资讯,全年无休! http://www.linuxeden.com/html/itnews/20150528/161032.html
  • Ubuntu将Jonathan Riddell赶出Kubuntu – 新闻 ◆ 快讯 https://linux.cn/article-5529-1.html