對於Roger的《大砲開講 » Blog Archive » 高鐵售票系統品質差嗎？》 ，我有一些關於CMMI和軟體開發的想法。Roger 提到：

今天，在神通電腦網站瀏覽了一下，發現他們是通過「能力成熟度整合模式第三級(CMMI Level 3)評鑑」，是 CMMI 有問題？還是神通電腦專案協調出現問題呢？

很多國內廠商通過了能力成熟度整合模式評鑑後，軟硬體品質真的會改善嗎？真的會遵循這些程序嗎？還是把它擺在角落呢？

讀者，你認為是 CMMI 有問題？還是開發組織有問題？歡迎來這裡回應這個主題！

我承認，我是不太喜歡CMMI，尤其不喜歡許多CMMI專家或軟工學者有意無意地忽視「人」的問題。在這個案例中，或許Roger 對於開發者的專案協調與程序遵循有疑問，我倒是覺得，開發者與CMMI，都有問題。

先看開發者。聯合報的新聞說，「神通電腦坦承：程式與旅客需求有落差」。我聽到這句話中有話說︰開發者認為這售票程式沒寫錯，但可惜的是，高鐵的旅客並不欣賞這「登機」用的售票程式。

嗯？「登機」的邏輯？我想起來了，飛機票常會超賣，我的確有過一大早去機場waiting的經驗。所以哩，旅客本來就該預期一個會超賣、會waiting的「飛機級高鐵」囉？

真是自以為是。

CMMI ML3 裡有個PA叫做 Validation，其目的在於證實未來提供的產品，放在預期的環境之後，能夠滿足其「預期的使用需求」。換句話說，Validation 是要確保「你做了正確的事(You built the right thing)」。如果說，開發組織有機會，找些人來先行「體驗」一下這買票的過程，理應不難看出，旅客期待的高鐵是像坐火車、坐捷運，還是像坐飛機？(我還沒坐過高鐵，但是我坐飛機時可從來不用去售票機前買票！)

因此很明顯地，開發組織雖然通過了ML3，卻沒做好ML3裡的Validation；開發出來的程式或許符合SRS或RFP，但是不符合旅客們的預期。

不過，說完了開發的組織，這下我要說一說CMMI。其實CMMI不能算是開發流程，它其實是開發流程的「需求」，也就是說，你可以用各種奇奇怪怪的模型、方法、理論、實務，只要合乎那需求，那就 OK。那麼，CMMI給我們在「需求發展」上的指示是什麼？很簡單，要「用廣泛的方法確認需求」。

是該說CMMI精明，還是說不負責任？「用廣泛的方法確認需求」這真的太正確啦！卻也好像沒說一樣！我們開發者千方百計，不就是想搞楚清 What customers want? 不過，CMMI 的確也給了些例子，像是 product demo, prototype, simulation, scripts, scenario 等等。然而我依然覺得，這些例子都是一筆帶過，最終還是害那些不懂得顧客心理的開發組織，做一些自以為是的Validation，而非由外而內的 Validation。

最後，讀者，我的忠告︰你的顧客無法告訴你，他們不滿足的是什麼；但你仍然可以「用廣泛的方法確認需求」，把爛需求早點殺掉，以發掘顧客的不滿足是什麼。雖然是廢話，畢竟還是句正確的廢話！



備註︰
1. PA：Process Area，中譯作「流程領域」
2. Validation，中譯做「確認」
3. 需求發展︰Requirements Development，同樣是ML3的PA

參考：
CMMI的正式網站：http://www.sei.cmu.edu/cmmi/
CMMI 模式V1.1中文版：http://www.sei.cmu.edu/cmmi/translations/trad-chinese/models/

相關：大河馬的創意動物園: 大河馬看高鐵自動售票系統有評論高鐵售票系統UI的圖文評論。

歡迎來這裡回應這個主題！

去年寫過一篇《大家都愛買安心》，提到了IT Infrastructure 的大公司們，開始體認到資訊安全的需要，想要把資訊安全這一塊餅納入自己的版圖中，於是開啟了資訊安全公司的併購潮。說到最愛買公司的大公司，怎麼可以錯過Cisco呢？於是昨天 (2007-01-04) Cisco 大大說話了︰Cisco 花了8億3千萬美金，買下了IronPort - 內容安全設備 (Secure Content Management Appliance) 的領導廠商。

這還是Cisco有史以來最大一筆資訊安全之收購案。See "Update: IronPort To Become Cisco's Largest Security Acquisition".

在《大家都愛買安心》中提到，「安全」與「信賴」有著關連性。想要成為一家成功的資訊安全業者，除了提升自己的技術能力，還要提升自己的營運、名聲、品牌、商譽這些技術人沒興趣的東西，因為這些無形的東西，有時比技術能力更能影響人們對你的信賴。好比最近某家保全業者的運鈔車司機監守自盜，其銀行客戶們立刻成了驚弓之鳥，再高檔的運鈔車也安不了客戶的心。

但是反過來說，IBM、Cisco、EMC、Microsoft 這些大大公司，本來就有很優的營運、名聲、品牌、商譽，此刻大公司們紛紛跨足資訊安全，是不是比既有的資安業者，更能安顧客們的心呢？

這個答案，我還不知道。不過我以為，在未來的IT產品與服務，將『安全』列為標準配備應是大勢所趨。畢竟「安全」是馬斯洛的第二層需求，是該比社交等高層次需求先滿足吧？

在大公司們擁兵自重之際，試著帶槍投靠，成為大公司的可用之兵，應是一條可行的創業目標。當然，這條計策要成功，就要看你那把「槍」，人家是不是看的上眼了。

相關閱讀︰《大家都愛買安心》、《YouTube 真值16億5千萬美金 !?》、《誰會想買「賣咖啡」？》，以及Google News上Cisco買IronPort的相關報導。

仿效食夢黑貘大哥的年終回顧，我也手動排序把喲哪桑的軟體習作簿於2006年點閱數最高的十篇作品列出，分別為︰

1. 工程師！你自認為PRO嗎? (6,923)
2. 誰來檢查code? (4,619)
3. 世界是平的了。那軟體呢？ (3,681)
4. 那些 Bug 是怎麼找來的？ (2,564)
5. 真的沒有毒了嗎？ (2,354)
6. 「共乘的歪理」之UTM設備篇 (2,330)
7. 魔鬼教頭的工程師基本教練 (2,327)
8. 不傳之秘 (2,325)
9. 林志玲教軟體開發 (2,237)
10. 誰來檢查 mail? (2,169)

位居前三名的工程師！你自認為PRO嗎?、誰來檢查code? 與 世界是平的了。那軟體呢？ ，其實好幾個月來名次都沒變過，但和黑貘大哥不同，這三篇文其實都是利用中午休息時間，在線上一氣呵成地寫完，其寫作時間比不上一些回應讀者要求之文，或者一些關於spam、threat 的分析。難道，我花的時間愈多，效果愈差嗎？不過，再仔細想想，其實這三篇都是長期SQA工作的心得，或許在我心中，其醞釀時間更久吧！

另外，我發覺我滿愛用「問號」的，而大家也滿愛讀「問號」。前五名，全部都是以「問號」結尾的問句！也許，我該去請教蔡志浩老師，從人的心理面來解析「問號」的影響；不過，也許有人會覺得我在吹牛，但是在這裡寫作時，腦海裡常出現龍應台女士的影像，她質問的對象是兩岸領導人，而我總是忍不住想問軟體工程師們、IT業的人們︰「為什麼你們要這樣？」「為什麼你們不那樣？」「真的是你想的那樣嗎？」於是乎，我就是問不停的問題人物啦！

最後，我要感謝王建民與林志玲。但是在王建民與林志玲的加持下，林志玲教軟體開發雖是舊文，但還是爬到第9名；而工程師！你自認為PRO嗎?一文以王建民為例，更是勇奪第一，真不愧在2006年關鍵字排行榜中封王封后吶！因此，我想要建議衝高你的部落格觀察排名的方法裡，加上一條︰「言必稱王建民、林志玲與蔡依林」，必然可以吸來大量人氣唷！

PS. 剛才發覺，在HEMiDEMi上有在串連各站的2006點閱前十名。挺有趣的！
詳細內容請至：HEMiDEMi串連活動：大家來公布2006年各站點閱前十名文章

好吧，既然Web Company 是有條件滴，那麼Web Company 到底要有怎樣的條件？

我以為，有幾個方面要思考︰Web Company的「顧客」與 Web Company「想解決的問題」。

先說「顧客」，有沒有『對』的顧客是件很重要的事。雖不見得真要像kalua提議：客戶也要被認證，但是『嚴選顧客』還是有其必要。好比HEMiDEMi一開始就選定了網路的重度使用者，做為其目標顧客群。

從科技行銷的角度來看，網路的重度使用者，通常都是科技的狂熱份子 Techie Guy。Techie Guy 雖然為數不多，從他們身上賺到錢的難度甚高，但是Techie Guy卻是很多人的「電腦修理工」。如果你的產品得不到Techie Guy的認同，就等於產品沒有口碑，就不會有「電腦修理工」在修電腦的同時，推荐你的產品給更多的早期採用者了。

那麼，從開發的角度來看呢？

(閱讀全文)

網路公司(Web Company)有沒有缺點？

雖然Web Company是一個我嚮往的工作模式，縱使情人眼裡出西施，但我還是以為它是有缺點滴！

(閱讀全文)

軟體公司 (Software Company) 跟網路公司 (Web Company) 不一樣。但是，哪裡不一樣？

有一回，和一個久未見面的學長聊天，他對我說，「你們做軟體的很好哇！爆發力很強！好像Google、Yahoo，還有最近流行的 Web 2.0……」當時，我很想跟他說，「不，我們軟體公司 (Software Company) 跟他們網路公司 (Web Company) 不一樣」，但我還是沒有把這句話說出口。因為我雖知道有所不同，但那時我還不能準確地說出來，到底有什麼不同。

前幾天，參加了一場SaaS (Software-as-as-Service) 的 eSeminar，把軟體公司與網路公司做了個比較，讓我開始能注意到，到底軟體公司(Software Company)與那些網路公司(Web Company)最根本的差異為何，又哪些網路公司其實還是軟體公司，雖不敢說自己想得多完整、說的有多對，但還是試著把這些心得想法寫下︰

第一，雖然同樣有開發軟體，但軟體公司是「賣軟體的公司」，而網路公司不是。讓我繼續衍生這句廢話︰賣軟體的公司，賣的是各式各樣自己開發的軟體，好比作業系統、應用程式等等。在軟體公司的想法裡，軟體它是一樣商品，好像汽車、洗髮精、音樂，要顧客把軟體帶回去之後，想用就用，愛怎麼用、就怎麼用。

網路公司則不是這麼想。他們想的是，不用把商品帶回去，就在網上，讓用戶把想做的事做掉。

一個是要帶回去，另一個則不用帶回去，這個想法的不同，又導致更多不同︰Deploy (部署) 的不同、測試方法不同、開發週期不同。

Deploy 和 Install 其實是件討厭的事。Deploy 到用戶的電腦上是討厭的 Last Mile，安裝更是要考慮一堆相容的問題。想要讓愈多的顧客把軟體帶回家，大量的顧客衍生出複雜的需求，複雜又無限大的configuration 問題，也衍生了更漫長的測試，與更漫長的開發週期。對軟體業者而言，Deploy 和 Install 往往需要引進中間人的力量才能解決，好比養批技術支援人員，好聽懂用戶的問題是什麼；藉助第三方的顧問公司、SI公司、所謂的Partner等等，好弄清用戶的環境是什麼，好為用戶來Deploy 和 Install 軟體產品。

Web Company 可以避掉 Deploy 和 Install 的 Last Mile，對開發者來說，這讓軟體的更新變成極方便的事；對行銷者來說，則是去掉中間人與通路商，與顧客、使用者間有了更緊密的連結。於是乎，Web Company 更能走向Agile 的 Iterative Development，因為可以和顧客一起開發產品、可以有更少的待測環境、更短的開發週期。也因此，許多 Web Company 在帶給使用者新Feature的同時，還能更省時也更省錢。無怪乎許多軟體業者見到YouTube的成功，在酸葡萄心理下不免有一絲疑惑：才二十幾個人的小公司，怎麼能搞這麼大的事？

不過，不是每個網路公司，都是真的網路公司。網路公司的想法，是在網上就把一切的工作做掉，因此省掉了Deploy 和 Install 的麻煩事。換言之，即使有美美的web介面，如果沒有省掉麻煩事，那就還不算真正的網路公司Web Company 。例如，不少線上遊戲還是要下載數百MB的安裝程式，雖然是在網路上和人玩遊戲，但是絲毫未減掉半分Deploy、Install、Configuration的問題。有些網站空有web-based interface，還是要繁複的setup，要下載一堆安裝程式、元件，還是會引起各類相容問題，還是無法讓用戶很容易地開始使用，更不用說與用戶一起來開發了。

最後，我想起近來很多人在討論的Getting Real - 37signals所使用的開發方法。我認為這就是網路公司Web Company的典範。它其實不只是軟體開發的方法論，它還包括了如何行銷、如何與顧客互動合作。但這套典範能否適用於所有軟體開發？部份做法或許可行，但我不認為所有軟體公司能夠跟著這樣做，好比我認為Ｍ＄公司應該就不行。倒不見得全然是舒適使人懶惰 ，而是其基本想法就還是想要賣軟體。想法未改變，典範是不易轉移的。

相關閱讀：軟體工藝 Software Craftsmanship；顧客永遠是對的．所以我是對的！？

顧客永遠是對的！而我是產品經理，我代表了所有的顧客，所以我的話永遠是對的！你們也不用再懷疑這些需求對不對，因為我說的需求永遠是對的！

看到john在前一篇你該認識「那個人」留下的回應︰

或許你有時會埋怨,人家只出一支嘴,問題是協調的工作,不是每個人都做的來的..."生意囝歹生",這句話不假啊.

的確，這種協調工作有其困難。但這段話，倒是讓我想起一則小故事。 (閱讀全文)

我們軟體的品質，是「那個人」心中的價值觀來決定的。所以，你該要去認識認識「那個人」...

(閱讀全文)

「軟體工程」只是個隱喻、只是個tag，不見得是軟體開發的本體。雖然「軟體工程」這個隱喻的確幫助我們了解與學習軟體開發，但是軟體開發的本體真的是如此嗎？

因此，我們需要一個新的隱喻、一個新的tag，來幫助我們了解軟體開發這回事，讓我們更能體會「人」在軟體開發中的重要性。

(繼續閱讀)

我必須對 iThome 部落格是心存感激！讓我也有得到鼓勵、被人批評的一天！但如果 iTHome 部落格能夠多一些改變，是不是能夠幫忙這些部落客們提升力量，進而提升 iTHome 的影響力呢？

自從開始加入部落格觀察，並且把貼紙放在網頁上，我就會三不五時地看看自己的名次。雖然說，我沒有認真地經營喲哪桑的軟體習作簿，但是看到自己的名次日益下滑之後，如果還能夠說：「我一點也不在乎！」那絕對是騙人滴！因此，不能免俗地，我開始研究部落格觀察的計算公式，看看自己是差在什麼地方；我也開始向其他人請教，如何修改網頁，留住新訪客；不過，我看到部落格觀察公佈的另一項關於 BSP (Blog Service Provider) 的統計，讓我好意外！

MyZilla 官方部落格的目前前 1000 大 BSP 分佈說：

在目前前 1000 名的部落格裡，使用 iThome 的有 10 個；若縮小範圍至前 300 名，則 iThome 只剩下 1 個！

等等，只剩下 1 個！？ 喲哪桑的軟體習作簿上週的名次是270名，在300名之內......難道說, 我竟是 iThome 部落格的一哥?

此等狂言一出，我一定會被 iThome 的百萬讀者給公幹而死吧！喲哪桑是哪裡蹦出來的無名小子，敢在豬言豬語、@ONE爸爸的隨想手札、Kenming's 軟體設計思維、掇拾、工程師級的顧問 / 【食夢黑貘】等專家面前放肆？我的猜測是，其實很多的專家們本來就另有主要的部落格，例如矇矇的秘密基地，是Kenming的主站 ，iTHome 反而像是一個備份的網站；豬老大的文章很多，但也較分散，如豬言豬語與爪哇新視界 - 朱仲傑；既然是備份火力較為分散，專家們大概不會花太多的心血於此，而讀者們也多會前往主站閱讀，因此給了喲哪桑這個猴子得以稱大王的機會。

因此，我必須對 iThome 部落格是心存感激！猴子也有出頭天吶！我原來放在Blogspot的blog - 喲哪桑 speaking ，寫了兩三年，只不過排 2000多名；若非有 iThome 原有的龐大讀者群、以及每週日的iThome 電子報專欄部落格精選，我的無病呻吟也不會有100多篇迴響，我也有了得到鼓勵、被人批評的一天！然而，使用 iThome 部落格久了，看到 iThome 眾多部落格的名次都在下滑，我也難免有些不捨。如果說， iTHome 能夠多一些改變，是不是能夠幫忙這些部落客們提升，進而提升 iTHome 的影響力呢？例如，讓 trackback 正常運作、讓我們可以claim iTHome blog to Technorati，於是作者們和讀者們可以知道在廣大的web上，這裡的 blog 有多少人引用、有多大的討論與影響；模版不見得要多美，但至少要正常︰要能秀出文章的title、能秀出回應者的網址。如果能多一點模版選擇、能多一點客製空間是更好不過啦！

我相信，iThome 這麼大，必能找到許多 IT 業界的知名之士來此發言，就好像中時部落格的策略。但是就好像洋基花大錢也買不到world series的門票，我還是希望iThome 也能好好地維護這塊園地，從自己的農場裡找到王建民，讓這裡好的聲音能多讓人聽見，別讓這些聲音給直銷、性學給淹没了。

PS. 想要迴響留言？請點右邊小貼紙，收藏本文至HEMiDEMi，並發表你的迴響留言。我受夠那些貼廣告留言的人啦！

防毒產品的普及率早已接近100%了。如果在這樣的成熟產業，我還想發展一個新的防毒技術，我該挑哪個方向來做？

每隔一段時間，就會有人挑起這樣的爭論︰病毒偵測率(Virus Detection Rate) 重要？還是病毒清除率重要？ (最近一個在這裡: 防毒軟體評比之奧秘)

雖然說，我自己也曾經挑起這種「公說公有理、婆說婆有理」的討論 (見真的沒有毒了嗎？)，但是我今天想從廠商的角度出發︰如果我想發展一個新的防毒軟體或設備，我該挑哪個方向來做？我知道，我要專注，但是要專注在哪裡呢？病毒偵測率，還是病毒清除率？或者是︰穩定度、中央控管、對新病毒的反應時間、報表功能？

我想，答案是「以上皆非」。

絕不是因為這些因素對客戶不重要。而是因為，大家都知道那些因素很重要，大家都會去比偵測、比清除、比控管。如果我現在才要開始做防毒、做殺毒，我去拚這個，拚贏又如何？還不是跟別人長的差不多，我又賺的到錢嗎？

話說有個朋友，今年開始他的新創事業，我問︰你的新事業要做什麼產品服務呢？

「我們做 Antivirus Appliance！」

我一聽，立刻眉頭一皺，為他的「錢景」擔憂。一方面，多年前自己也做過、然後也失敗過；另一方面，這一兩年，市場上做 UTM 的人還不夠多嗎？還要來分一杯羹？

「我們也清楚，市面上的 UTM、SCM Appliance 太多了，所以我們要跟別人不一樣。我們要做的是，全世界最快的 Antivirus Appliance ！

如果別人一秒能檢查 1000 個檔案，我們就要 5000個、一萬個、十萬個！我們現在的技術，已經是市面上一般產品的兩三倍，我們計劃半年後達到 10倍、兩年後到百倍！」

我仍然疑惑，速度快，那又如何呢？

「第一，一個高速度、容易 deploy 的 appliance，就可以攻進大企業、ISP、電信業者這些使用者極多、又利潤較高的客戶；

第二，現在 web-based 的攻擊就要成為主流，以前 mail-based 的病毒，你可以把每封信delay個幾分鐘慢慢檢查，今天你在 web surfing，你還能夠花幾分鐘檢查每個 request ？

最重要的，我只想證明，我有一項遙遙領先業界的技術，就能吸引大公司來買我的公司、我的技術，我為什麼要花太多的力氣，在其他不討好的地方呢？」

說完我朋友的故事，並不是要告訴大家，速度最重要、速度是王，更不是來賣「藍海策略」這本書。畢竟，我朋友的產品還沒大賣，也還沒把公司賣掉賺大錢。要幫他出書，還早……

我想到的是，縱使是防毒這樣的成熟產品，在企業間的普及率已近百分之百，都還可以發現這麼一條沒人注意的獨到之路，然後在競爭者不知不覺間，十倍、百倍地拉開彼此之間的距離，讓人絕對追不上來。防毒產業都能如此，何況是其他產業呢？

因此，不管做什麼，別去跟人拚，拚到變得跟人差不多，重要的是要獨到 (UNIQUE)！唯獨到，才是王。

PS. 想要迴響留言？請點右邊小貼紙，收藏本文至HEMiDEMi，並發表你的迴響留言。我受夠那些貼廣告留言的人啦！

最近，做資訊安全的公司，是最火熱的被追求對象。而且，這一波熱潮不像Web 2.0，對象都是些新創業的公司。資訊安全界的併購潮，看上的可都是上市公司！嘩！真不少錢哪！聽我一一報來︰

• 六月，儲存界的大哥EMC，花了21億美金，買了密碼界的大哥RSA
• 八月，藍色巨人IBM，花了16億美金，買了入侵防禦界的大哥ISS (Internet Security Systems)
• 九月，Symantec 和 Juniper 聯盟

前天，賣咖啡 McAfee ，花了$56M，買下了Citadel， 乍看之下，好像手筆小多了，但好歹Citadel也是掛在OTC上，營運有一定水平。

個人認為，併購潮出現，當然是因為大家都開始體認到資訊安全的重要性。於是乎，從事 infrastructure 的大公司們都想吃這一塊；再者，擇偶條件不同的原因，則是「安全」與「信賴」是有著關聯性的。

如果要找人保護我們的安全，當然要找值得信賴的對象。但是人心隔肚皮，怎麼知道哪個人是值得信賴的呢？於是乎，我們找警察，因為能當上警察，有政府的加持，應該值得信賴吧！

資訊安全更深奧，又有哪幾個顧客能分析資安業者的能力呢？於是乎，雖然我們顧客搞不楚清，資安業者產品到底行不行，可是至少我們做顧客的知道這家公司有名氣、有商譽、規模大到上市上櫃的、其他人也在用！這樣，雖然我們不懂深奧的資安，起碼我們買到了安心！也因此，要娶資安做老婆，那些上市上櫃的公司成了熱門的對象，也只有EMC、IBM、Microsoft、HP這類公司，才開的起這麼高的聘金了。

因此，資安業者除了發展技術外，也應該要注意「營運」「名聲」「品牌」「商譽」這些技術人沒興趣的東西。因為這些無形的東西，有時比「技術能力」更能影響人們對你的信賴。趨勢科技品牌價值四連霸，何嘗不是如此？

web 2.0 沒有安全的問題嗎？

讓我來報一個Web 2.0 國際研討會沒告訴你的事︰Mashup Threats。

我們有沒有可能透過 Mashup 的方式，得到我們不該得到的資料，並且不當地使用那些資料呢？

在 Web 2.0 國際研討會裡，有個多數人並不在意的場景︰

提問者︰請問我們該如何 "secure" web 2.0?
主持人︰我想我們不用回答這個問題，因為我們整天的研討會都在"secure" web 2.0。

我以為，主持人，您誤會了。這個問題不在於如何鞏固、如何發展web 2.0。提問者質疑的，應該是 web 2.0 的安全性。而這個安全性議題，主持人，在您舉辦的研討會1.0當中完全沒有觸及。

是因為 web 2.0 沒有安全性的問題嗎？

事實上，在 Gartner Group 這個月提出的報告 "Hype Cycle for Cyberthreats, 2006"，已針對了 Web 2.0 的觀念，提出了一項可能的安全性威脅︰Mashup Threats。雖然目前認為還只是個胚胎期(Embryonic)的安全性威脅。

根據 Wikipedia ，Mashup (web application hybrid) 的定義是︰

A mashup is a website or web application that seamlessly combines content from more than one source into an integrated experience.

Content used in mashups is typically sourced from a third party via a public interface or API. Other methods of sourcing content for mashups include Web feeds (e.g. RSS or Atom) and JavaScript includes.

而 Gartner Group 認為，這樣的作法將開啟了很多可能的安全弱點 (Vulnerability)，以及跨越網站之 scripting 型式的攻擊行為。

這種威脅似乎還在概念階段，我還沒聽說很多實作與應用，因此我就開始胡亂地、不負責任地發想︰

我們有沒有可能透過 Mashup 的方式，得到我們不該得到的資料，並且不當地使用那些資料呢？

好比這個blog的右邊，我放了個部落格觀察的貼紙，顯示我這個blog目前是兩百多名。說不定，我可以輕易地修改，把彎彎的分數與名次 Mashup 過來，乍看之下，我就是台灣部落格的第一名！說不定，我還可以 Mashup 別人相簿裡美美的照片與漫畫，假裝我是攝影大師或畫家，欺世盜名；說不定，我能招來一大堆不分青紅皂白的粉絲；說不定，我可以賺賺流量賺賺廣告費？

另外，這麼多玩 Mashup 的人，很多是玩技術的，而不是提供內容的人，更不是內容的 owner，即使有道德良心，不亂Mashup不盜用，但是這些人，有能力有知識判別 Mashup 過來的資料正確性嗎？

很多玩家能夠在 Google Maps 或 urmap 上，Mashup 來豐富的內容，但是這些玩家真能檢查這些內容是否正確嗎？

我自以為我了提供豐富資訊，說不定我在地圖上 Mashup 的是一間假的凶宅、鬼屋、墓仔埔、電塔等嫌惡設施，我Mashup 的是假的豪宅渡假村，因此讓投資客操縱房地產價格以獲利呢？

Mr. 6 在《搶先佈局十年後》一書中提到，未來有一半是數位內容提供者，而另一半是負責數位內容的保安。我十分同意！這絕不會是危言聳聽，因為隨著數位內容愈來愈多愈便利，數位內容遭竊取、破壞、偽造、誤用的問題也將愈嚴重。世間萬物本就是陰陽相伴相生，有人用之造福，也必有人作惡。

慢著！既然會有問題發生，為什麼我們偉大的(?) web 2.0國際研討會，怎麼會隻字未提？

其實，William 對國內 Web 2.0 的觀察，也有疑問。他問︰反觀國內許多號稱 Web 2.0 的網站，究竟有多少比例真正體認到 mashup 的重要性並嘗試加以實踐？

呵呵，如果這個世上沒有車，自然不用擔心車禍發生；如果國內沒人實踐 mashup，自然不用討論 mashup 的安全問題囉！

燈塔底下是最黑暗的地方。以此類推，維護資安的東西最不安全嗎？

好像是日本的俗語吧！「燈塔底下是最黑暗的地方。」因為燈塔可以照亮遠方，卻照不到自己的腳底下，因此燈塔底下反倒成了最黑暗的地方。

生活中有這樣的例子嗎？多哩！

好像公務員應該是公僕、要為人民服務，可是有的公務員卻Ａ人民的錢；好像警察是要保護人民、維護秩序，可是有的警察反而欺負我這種善良老百姓……不過，今天不談藍綠紅，我講資訊安全的故事給你聽。

現在網路上的威脅多的講不完，從前大家都知道電腦病毒、DoS這些東西，於是幾乎每家公司都買了防火牆、防毒程式來安自己的心。過去的美好時光裡，這些資安廠商好像表現的還不壞，可是最近卻一個個相繼出包給你看。有的品質出問題，把你家電腦給搞掛，本該確保系統的可用性(Availability)，反倒讓系統不可用；有的更有趣，被人發現安全漏洞，防毒程式反倒歡迎蠕蟲進來玩。

這是怎麼回事啊？維護資訊安全的，反而不安全？會被蠕蟲攻？壞人們吃飽太閒，無聊到拿自己的矛來試廠商的盾？

諷刺的是，會找防毒軟體來下手，其實是非常有道理的。第一，樹大招風的那家M公司，是有在改進，開始注意自己寫的code安不安全，不像過去那麼容易就找出一堆洞 (當然每個月還是抓到一堆…)；既然如此，除了大家都有的M牌OS與office，還有什麼軟體是大家都有的呢？嘿嘿嘿，當然是防毒軟體囉！每個光華牌PC都有裝！

而且，由於防毒軟體要緊盯著你的 file system，看看什麼檔案進了你的電腦，因此都要寫個driver，跑在OS的最低層，也就是說，防毒軟體可以有極高的系統權限。

綜合以上兩點，既然這麼普遍、一找到洞就有極高的權限，對壞人而言，不是投資報酬率 ROI 最高的嗎？那還不前仆後繼地 Reverse engineering，找防毒軟體的漏洞哩？

所以囉！燈塔底下是最黑暗的地方，防毒軟體反倒成為蠕蟲、病毒覬覦的對象，五月爆出的那個新聞，其實不是〝空前〞，更不會是〝絕後〞，那我們小老百姓怎麼辦？靜坐嗎？遊行嗎？叫記者來現場連線嗎？

有點無奈，但我想這還是和我們對付M牌OS與office的方法一樣︰定期上patch，然後持之以恆地給這些廠商壓力，要求他們要有社會道德，要有更高標準的開發工具、開發流程與測試工作。如果死不改，我就讓你下台換一家！不過，好像每一家都出過包耶……慘……

[2006/9/26 更新] 有位歐老兄 (George Ou)的解決之道，就是不要裝antivirus/anti-spyware這些東西，因為無效、又慢！夠猛吧！他的看法在這裡。

PS. 想要迴響留言？請點右邊小貼紙，收藏本文至HEMiDEMi，並發表你的迴響留言。我受夠那些貼廣告留言的人啦！

在我們軟體業界響噹噹的約耳先生（Joel On Software），效法TechCrunch開了 CrunchBoard，也開始了幫人找工作的服務，叫做 jobs.joelonsoftware.com。

早在 2000年的泡沫時代，我就開始看 Joel 的文章，作為撫慰我們軟體工程師，面臨龐大專案壓力下的「讀品」。我也知道我的身邊，也有不少 Joel 的忠實讀者，而 Joel 的文章也三不五時地就被朋友轉寄到我的信箱，如果 Joel 能利用這多年累積下來的能量，協助他的讀者溝通、交流、相互找工作、一起做點事，不僅做功德，還可以賺點錢，應該會很棒吧！？

我會同意asker所說的，仲介 niche 的工作，將是「深度且專業的blog可能的發展方向」，看到 Joel 也開始搞，即可印證 asker 的觀點，相信在各個業界有名聲的狠角色，都會出來做服務囉。

不過，可以發展是一回事，能否搞的好，又是另一回事囉！拿我自己來說，我對人力仲介網站實在很感冒，headhunter 雖好一點，但是和 headhunter 接觸的感覺卻仍然是壞的多、好的少，甚至在 Joel 的網站上，已出現了大量的回響，說他們對 headhunter 有多不爽啊！這一行的偶像明星 Joel 要出山，真是救苦悶工程師於水深火熱之間吶！

不過，我當然很高興，Joel 訂了一些不同於現今人力仲介業的規矩，美其名曰「差異化」或「藍海策略」，想解決找工作的人的問題，但是這樣會不會把客人-出錢的僱主-都嚇跑、賺不到錢呢？

關於 niche job board 的延伸閱讀︰

1. IX blog | 除了104.com.tw之外為何沒有分眾工作網站?

2. 小小研究員的學習之路 | 也談CrunchBoard
3. 小小研究員的學習之路 | 再談CrunchBoard