原碼札記

什麼是User Story跟User Story Mapping？

Jan 20, 2021

1.User Story

在軟件開發和產品管理中，User Story是對軟件系統一個或多個功能的非正式自然語言描述。用戶故事是敏捷軟件開發中使用的一種工具，用於從最終用戶的角度捕獲軟件功能的描述。用戶故事描述了用戶的類型，他們想要什麼以及為什麼。用戶案例有助於創建需求的簡化描述。

User Story通常記錄在索引卡、便利貼或項目管理軟件中。根據項目的不同，用戶案例可能由客戶、用戶、經理或開發團隊成員等各種利益相關者撰寫。

2.User Story Mapping

隨著團隊和客戶對系統以及項目進度的了解更多，需求也會跟著變化。期望專案團隊計劃一個靜態的需求列表並在幾個月後交付系統或軟體是不切實際的。User Story Mapping是解決最終用戶需求的嚴格更改的一種更好，更敏捷的方法。

製作User Story 圖可幫助您將User Story安排到有用的模型中，以了解系統的功能，找到隱藏的漏洞風險和遺漏，並有效地計劃可通過發佈為用戶和企業帶來價值的整體發布。

通過Jeff Patton等人的努力，用戶故事地圖正成為一種流行的用戶故事管理技術。用戶故事工具允許您通過細分用戶需求（如用戶活動，用戶任務，史詩和用戶故事）來為產品積壓訂單建立多個級別和維度。通常，敏捷開發團隊在協作會議中利用故事地圖來確定最終用戶想要實現的預期結果。

好書分享：

【資訊安全】數位身分證(new eID)對於台灣來說是發展的進步還是資安的破口？

Jan 19, 2021

新式數位身分證(new eID)是什麼?

      「數位身分證」乃是將過去紙本身分證升級為具晶片功能的「數位身分證」，除了安全防偽性加強外，更可整合自然人憑證功能，成為一把數位鑰匙與虛擬世界的「數位分身」。

過去台灣因為線上身分認證機制並不完善，民眾辦理各項政府或民間業務，都必須本人持身分證正本前往辦理。外來身分證數位化(晶片化)後，民眾就可以僅憑一張卡片，就可以申請與辦理如網路報稅、公民投票、申請電子病歷、數位金融交易、退休金查詢、申請各種社福津貼與補助..等等逾80%的線上政府業務，大幅簡化民眾多處申請服務的個人資料重複註冊與節省往返奔波時間，也可以省下老是在印身分證影本的麻煩。

新式數位身分證會引發資安問題?

       本月新竹市開始台灣新式數位身分證的試行換發，但因為受到各界的質疑最後決定暫緩執行。其實，數位身分證的資安問題從這個政策提出後就收到來自各方的關注，有許多學者、民間團體還有民意代表等等都向這個政策提出疑問，究竟這個新式數位身分證會不會有資安的問題？

       這個問題的答案很簡單，新式身分證相較於舊式身分證畫面設計上更簡潔，舊式身分證所透露出來的資訊事實上是更多的，而新式身分證的設計就是為了解決偽跟個資洩漏的問題，在使用新式數位身分證時，需要透過經過授權的讀卡機，並且需要輸入密碼才可讀取資料，但是舊式的身分證的個人資訊像是住址、配偶等等只要是拿到的人都會看到，資安問題更嚴重。

既然新式數位身分證更沒有資安問題，那為何資安團體如此積極反對呢？

一、個資法令政策配套措施的不足

      法令制定的速度遠遠不及科技發展的速度，而政府推出的這個新式數位身分證雖然相對於舊式身分證更加有個資的保護，但是大眾擔心的是，這些資料究竟是被誰來管理？有誰會看到我們的這些資料？有無被洩露的可能性？法令有沒有制定好規範來防範這些洩漏攻擊？如果這些配套措施沒有做好，很難讓民眾接受這個新式數位身分證。

二、一號一證V.S.身分證與自然人憑證分流

       將來新式電子身分證勢必是要普及化的，但是結合身分證與自然人憑證的新式數位身分證因為法令政策尚未完善仍有許多疑慮，政府應該使用給予民眾一個緩衝期，又或者是雙向並行，雖然這段期間可能會增加辨識困擾，且投入雙重資源將造成浪費，但是，民眾對於保或個資意識強烈，若是強勢換發可能會造成民眾反彈，更有違憲的問題。

未來該怎麼面對這個新式數位身分證？

一、提高個資保護意識

       對於儲存於非紙本的資訊我們應該確實做好加密的工作，很多人為了貪圖方便將自己的密碼設定的相當簡單好記，如:1111、1234、自己的生日等等，當我們不斷檢視政府的法令缺陷時，也應注意自己對於個資的保護措施是否完善，以補足法令政策的不足。

二、政府應積極建立信賴感

       雖然內政部聲稱「保護隱私」與「資訊自主」，可允許民眾自由選擇開啟自然人憑證與否，並表示對於未換發新證不會祭出罰則，但如此恐讓人擔心未來流通的空白卡片居多，推動「智慧政府」願景美意大打折扣。回過頭來，政府仍需充份準備回應民眾可能的疑慮，例如透過eID串接T-Road各行政機關資料時，是否皆需取得「個人同意」方能為之？個人資料（含人臉、指紋）如何蒐集與管理方式？未來eID的明確用途與規劃（如納入健保卡）？eID的資安管理機制如何被監督？以及與歐盟GDPR適足性與否？

       雖然eID將可能帶來更多的智慧應用體驗與效益，但當多數民眾有資安疑慮，也可能導致被動式換發新證而不開啟eID功能。故建議政府廣邀專家全面盤點法案不足與建議修訂方向，甚至評估立專法保障eID使用者權益，以建立民眾的信賴感與採用意願，方能推動2020年後我國全面邁向「智慧國家」。

如何有效地管理專案?掌握這四個要點，一次就能讀懂

Jan 5, 2021

專案管理者在一個專案當中扮演者極為重要的角色，甚是可以說整個專案能不能順利結束，都是看PM怎麼去管理，那要如何有效的管理專案，這邊給大家幾個建議：

• 將待辦事項安排至時程表上，並隨時掌握進度

通常一個專案都會分為多個階段，每個階段都會有各種不同的任務，若沒有好好將專案時程安排，很容易造成專案後期難以追蹤跟掌握進度，對於一個PM來說這是非常頭痛的事情，作為一個PM，掌握進度是非常重要的，如果可以將所有應該要做的事項先安排至時程表甚至可以做成甘特圖，了解目前該完成哪些進度，可以讓PM更加輕鬆管理專案，也不會讓PM到了結案前還在到處跟專案成員要進度。

• 即時且有效的溝通管道

就如上面所說，PM需要隨時掌握專案狀況，當然也包括專案成員的工作狀況，如果成員在執行任務時遇到問題，PM也需要第一時間知道，又或者是專案內容需要改動或是專案哪裡需要修改，成員也需要第一時間了解，這時就需要一個即時的通報管道；而有效的溝通是很多專案團體所欠缺的，但對於一個團隊來說卻是很重要的事，經過有效溝通的團隊，可以避免掉不必要的工作、加快工作效率，使專案進行得更順利。

• 多元且明確的分工模式

分配任務是專案管理關鍵的一環，良好的工作分配可以使專案進行更加順利，分配任務方式有很多種，甚至每個任務下都還會分成數個小任務，小專案還好，可是當專案一大任務一多，任務分配狀況就會非常繁雜，這樣PM就比較不容易去掌握專案進行的狀況。

那麼要把任務分配地好其中一樣重點就是要明確，將待辦事項、完成期限、負責人等等一一寫清楚，讓專案成員都能清楚自己要做什麼，也比較好安排時程，再來就是要多元，重大專案的任務通常多且雜，把任務以複雜度、輕重緩急、大到小等等依據分成多個任務，把複雜變簡單，好好的規畫再分配，也可以指派給任務的負責人，由他來分配底下的任務，也能使任務執行更有效率。

• 一個好的專案管理工具

最後就是請選擇一個好的專案管理工具，專案管理工具可以幫助PM達到事半功倍的效果，所以基本上每個PM都會利用專案管理工具來管理專案，目前市場上也有非常多的專案管理工具可以選擇，每個工具都有自己的特色跟優點，工欲善其身，必先利其器，選擇一個好的專案管理工具是真的能讓事情事半功倍、讓專案管理更有效，這也是PM的一項重要任務。

高效率的企業法寶－PDCA循環(PDCA Cycle)到底是甚麼？

Dec 29, 2020

不論你是否從事管理工作，是否常都聽到 PDCA 循環（PDCA Cycle），而這究竟這是甚麼樣的管理學概念呢？這是由美國著名的管理學家戴明（Deming）所提出，包含四大概念：計畫（Plan）、執行（Do）、查核（Check）、行動（Act）。

步驟1：計畫（Plan）
正所謂謀定而後動，秉持第一次就做對的精神，謹慎的思考該怎麼做！在產品製作之前，週延的規劃各項標準程序（SOP）、製程規格、負責單位以及檢驗方式…等。

步驟2：執行（Do）
依據先前制定的規劃，準確的執行各項工作。 

步驟3：查核（Check）
在執行過程中，必須隨時檢查達成率。倘若發現計劃（Plan）和實際執行（Do）發生落差時，就該隨時提出改善的辦法。

步驟4：行動（Act）
針對第3個步驟查核（Check）所提出的改善之道，重新修正做法，正確執行矯正措施，以利未來的工作方向越來越進步。

Deming 認為，上述的步驟是一個持續循環的動態過程。企業只要重覆執行步驟1~4，就能持續從錯誤中學習和反省，並且從反省中成長！企業若確實實施 PDCA 循環，將能體驗前所未見的巨大效益。尤其在網路時代中，產品的生命週期越來越短，企業該如何因應詭譎的市場變化，並隨時改善生產和品質管理方式，已成為管理者最重要的課題。

[教學]申請Google Play開發者帳號

Dec 24, 2020

Google在Android中的「Play商店」是App下載的重要軟體

要成為發布App的人員需要申請Google中的開發者帳號再進行發布App程序

Check Point 發布 2021 網路趨勢預測，看到哪兩大全新資安威脅？

Dec 24, 2020

網路安全業者 Check Point 今日發布 2021 年網路安全趨勢預測，指出 81% 的企業已大規模採用遠距辦公模式，且 74% 的企業預計永久實行此模式，因此企業 IT 和資安團隊應持續注意企業數位轉型後的全新工作模式；同時，Check Point 也點出了深度偽造技術（Deepfakes）將會為企業數位轉型帶來更多威脅，以及隨著5G上路，使用者須注意手機資料外洩及物聯網可能遭駭的風險。

Check Point 產品副總裁Dorit Dor 指出，新冠疫情幾乎打亂了所有企業的正常營運節奏，公司被迫放棄原有的業務和策略規劃，迅速為員工部署大規模的安全遠端連線，資安團隊甚至必須面對大量駭客利用疫情發起的攻擊。然而多數的資安事件不可預測，少數可預見的一類攻擊為駭客設法利用如新冠疫情或 5G 上路等重大事件來牟取私利。

Check Point 也提醒，未來各地企業可能遭到更多與疫情相關的複雜網路攻擊，如以疫苗為誘餌的網路釣魚活動、針對遠距學習者的攻擊、更多的雙重勒索攻擊等仍是常見的攻擊手法。由於新冠肺炎疫情仍未停歇，網路釣魚活動將繼續利用疫苗開發或各國新增限制措施的消息；而目前全球的中小學及大專院校大幅採用電子教學平台，未來一年，可預期網路攻擊將繼續干擾遠距學習的進行。

同時，2020 年第三季雙重勒索攻擊急遽增加，駭客先竊取企業大量敏感資料，再對受害企業的資料庫進行加密。攻擊者會威脅若不支付贖金，就將所竊取的資料公之於眾，造成企業難以拒絕駭客的要求。

除此之外，Check Point 也預測，到 2021 年數位轉型將從以下兩方面加劇攻擊態勢的惡化，首先是深度偽造技術成為武器。現今偽造影片或音訊的技術現在已相當先進，能用於創造特定內容，成為操縱輿論、股價或更惡劣的目的的武器。更簡單的深度偽造應用可能偽造音訊發起語音網路釣魚，例如透過偽造公司執行長聲音通過語音身份驗證。

其次是優勢與挑戰並存的 5G 網路。5G 將打造一個萬物互聯的高速世界，卻也為犯罪分子和駭客提供了更多攻擊機會。為了保護個人隱私，需要更全面地保護 5G 裝置中的大量資料，防止資料遭洩露、盜竊和篡改，尤其須注意許多資料可能繞過公司網路及其安全控制。

進階開發者成功的祕訣

Dec 24, 2020

原碼開發的強力助手-Spring Boot

 我們是使用Spring Boot來開發，他能夠讓我們程式的架構更穩定，流程更為順暢，使客戶在使用我們開發的產品時更方便，且更不容易出錯。

那什麼是Spring Boot呢?

 Spring Boot是由Pivotal團隊在2013年開始研發、2014年4月發布第一個版本。所以它是一個新型的框架。它基於Spring4.0設計，不僅繼承了Spring框架原有的優秀特性，而且還通過簡化配置來進一步簡化了Spring應用的整個搭建和開發過程。另外Spring Boot通過集成大量的框架使得依賴包的版本沖突，以及引用的不穩定性等問題得到了很好的解決。 然而說到Spring Boot，很多人會想到Spring 和Spring MVC。究竟它們有什麼差別?
第一，Spring是一種框架，包含一系列的IoC容器的設計和依賴注入(DI)及整合AOP功能。
第二，Spring Boot 和 Spring MVC 都是一種框架，同時它們的核心是Spring。
第三，Spring Boot包含了Spring MVC，同時能簡化配置。

我們選擇使用Spring Boot開發的原因是：

• Spring Boot有很好的程式基礎架構，可以提高開發者的開發速度，使工作更有效率
• 開箱即用（啟動器starter-其實就是SpringBoot提供的一個jar包），但通過自己設定引數（.properties），即可快速擺脫這種方式。
• 提供了一些大型專案中常見的非功能性特性，如內嵌伺服器、安全、指標，健康檢測、外部化配置等
• 絕對沒有程式碼生成，也無需 XML 配置。

Spring Boot將會是未來開發程式的主流架構，其穩定性跟方便性是現今市面上各軟體架構難以比擬的，若有開發的需求必然需要跟上時代的腳步，當然要選擇最方便又快速的Spring Boot。