Clair 是一套針對容器 (Container) 進行弱點掃描靜態分析的開源工具，由 CoreOS 提供。 建立需要的目錄 mkdir -p clair-data/clair-config Clair 所需設定檔（參考 https://raw.githubusercontent.com/coreos/clair/master/config.yaml.sample 進行修改），放在 clair-data/clair-config 目錄內，檔名 config.yml clair: database: type: pgsql options: source: host=postgres port=5432 user=clair sslmode=disable statement_timeout=60000 cachesize: 16384 api: addr: "0.0.0.0:6060" healthaddr: "0.0.0.0:6061" timeout: 900s updater: interval: 2h enabledupdaters: - debian - ubuntu - rhel - oracle - alpine - suse docker-compose.yaml 檔案： version: '2.1' services: postgres: image: postgres:9.6 restart: unless-stopped volumes: - ./clair-data/postgres-data/:/var/lib/postgresql/data:rw environment: - POSTGRES_PASSWORD= - POSTGRES_USER=clair - POSTGRES_DB=clair clair: image: quay.io/coreos/clair:v2.0.6 restart: unless-stopped volumes: - ./clair-data/clair-config/:/config/:ro - ./clair-data/clair-tmp/:/tmp/:rw depends_on: postgres: condition: service_started command: [--log-level=debug, --config, /config/config.yml] user: root clairctl: image: jgsqware/clairctl:latest restart: unless-stopped environment: - DOCKER_API_VERSION=1.24 volumes: - ./clair-data/clairctl-reports/:/reports/:rw - /var/run/docker.sock:/var/run/docker.sock:ro depends_on: clair: condition: service_started user: root 啟動 Clair

Ethereum Blockchain How does Ethereum work, anyway? (中文翻譯) Ethereum block architecture (Source file: BlockchainIllustrations) Smart Contract Ethereum Smart Contract Security Best Practices GitHub ConsenSys/smart-contract-best-practices RBAC-SC: Role-Based Access Control Using Smart Contract Decentralized Application Security Project Reentrancy Access Control Arithmetic Unchecked Low Level Calls Denial of Services Bad Randomness Front Running Time Manipulation Short Addresses Unknown Unknowns Solidity Learn X in Y minutes, where X=Solidity Truffle The most popular Ethereum development framework Truffle Boxes example applications and project templates 什麼是智能合約(Smart Contract)? 如何撰寫智能合約(Smart Contract)?(I) 如何撰寫智能合約(Smart Contract)?(II)建立加密代幣 如何撰寫智能合約(Smart Contract)?(III)建立標準代幣 OpenZeppelin a framework to build secure smart contracts on Ethereum Ethereum 智能合約開發筆記：編譯和部署合約的第一種姿勢 - 使用 Remix Ethereum區塊鏈！智能合約(Smart Contract)與分散式網頁應用(dApp)入門 區塊鏈技術-智能合約Solidity編程語言 亂數 由於區塊高度、timestamp 等不算是真正隨機亂數，可以加上 sender address 並 hash 過來增加亂度

COSCUP2018 這邊只能算是速記，這兩天晚上也沒時間整理成比較完整的筆記，未來應該也不會有機會整理了。 第一天幾乎都聽區塊鏈，第二天早上閒晃居多，下午跑去另一場活動，雖然還是有其他想聽的議程，但也就懶得跑來跑去了。 儘量不要用合約呼叫合約（Reentrance） ERC223、ERC677 ERC777 (ERC820) 增加 Operator 角色，讓第三方代管 token Transaction pool Local vs Remote Local: from this node, keep always Remote: from other nodes, might be dropped when pool full Pending vs Queue Pending: ready and included in the block Queued: transaction nonce is not in sequence Block gas limit: ~ 8,000,000 Empty block is valid eth-indexer: https://github.com/getamis/eth-indexer https://medium.com/getamis/%E5%A6%82%E4%BD%95%E5%BB%BA%E7%AB%8B-etherscan-%E6%9C%8D%E5%8B%99-c79c847ec4f 公有鍊問題（UPS 問題） 雷電網路 - Channel life cycles Open channel Join channel (deposit, init state) Off-chain transfers (update) Close channel (submit final state) Chanllenge period (for security)(timelock) Settle (withdrawal) Payment Channel Ethereum Plasma Map-Reduce Fraud proof: challenge misbehavior Different business logic could launch diff Plasma system litylang.org Lity 解 Overflow VM 層級 Compiler 層級 ERC223 auth modifier 漏洞 Gas 收費組成：Gas 基本費 21000，傳輸的資料，執行的運算 空合約 - 42901 ERC20 Token - 697051 刪除 -24000 資料儲存 新增: 20000 修改 5000 刪除 -15000 (仍算一次修改） 將非 0 值改 0 至少要一半費用 256 Bits 每四個寫入一次 每 byte 算 68 Gas 可更新的智能合約 佈署新合約，把舊的合約的帳戶資料放到新的合約，但資料不容易轉移 將邏輯和資料分開（Logic Conntract、Data Conntract） Data contract (getter/setter) owned by logic contract (upgradeable) Transfer owner of data contract 用 ENS 指向 logic contract，對外用 ENS，更新時只需要將名稱指向新合約 Proxy Delegate Call Logic Contract + Proxy Contract 更改 proxy contract 內儲存的合約地址變數 Zeppelin_os https://zeppelinos.org 更新的信任問題 NERVOS Information -> Blockchain Token Valuable + Verfied + Ownership Slide 區塊鏈上的二手票劵售票系統

共享和租賃常常被混為一談，或是說租賃常常被包著共享的包裝，維基百科的「共享經濟」條目也這麼寫著： 理論上，在共享經濟體系下，人們可將所擁有的資源有償租借給他人，使閒置資源獲得更有效的利用，從而使資源的整體利用效率變得更高。 但是事實上，目前大量營利公司所宣揚的「共享經濟」並不是利用閒置資源，而是製作了那些專門用於「共享」的商品，本質上就是「租賃經濟」，營利公司為了占有市場，大量投放「共享」商品，造成大量浪費，產生各種問題，完全違背了其聲稱的「使資源得到更有效利用」的主張。 但這些租賃業者，總高呼著共享的口號… 所謂的共享，前提應該要是閒置資源，且應該是 Platform 與 C2C 的概念，公司提供平台，但提供服務的器物都是屬於平台上的使用者所有，而非公司擁有。 而租賃則是 B2C 或者類似 B2B2C 的概念，公司除了提供平台，提供服務的器物也都屬於單一或少數公司的專用資產，不但非個人所擁有，也並非利用既有的閒置資源。 最後一個變化則是接案跑單類型的，公司提供平台，接案者非該公司員工，所使用器物也非公司資產，重點在於人而非器物，如果今天把家裡閒置的廚房拿出來租給別人用，那就是共享廚房，但如果是自己在家用閒置的廚房幫別人煮菜，則是接案。如果人力資源也是公司員工，那就是一般的提供服務的公司啦！ 共享經濟目前面臨最大的問題大多是安全問題，Airbnb 共享房間之所以能成功，主要也是房間通常是獨立套房或可上鎖的空間，偷竊與其他各種安全問題相對小。共享廚房概念就比較難實現，因為一般大眾的家中，廚房不會有獨立的出入口及門鎖。 在台灣，共享停車位的問題，主要遇到的問題則是法規與稅務方面，為的是避免停車場業者濫用共享經濟，如今法規也明定一個車位一個月最多只能出租 240 小時，算是訂出了明確的規範。而真正的共享汽車、機車、單車等等，則是因為技術上還無法有效的上鎖，以及損壞認定賠償問題較難釐清，目前只能停留在公司統一套用鎖車方式的租賃業，所以大眾目前也還沒辦法真正把自家的汽車、單車放上共享平台分享給不特定的大眾借用。 最後整理一下目前台灣比較知名的各類型案例如下： 共享：個人Airbnb (空房間)、USPACE (車位)、UPARK (車位) 租賃：YouBike (單車)、Obike (單車)、Bird（電動滑板車）、Uber (計程車)、Zipcar (租車)、WeMo Scooter (租車)、小樹屋Treerful (租屋) 接案：Uber (私家車但違法)、GoGoVan、Lalamove、Foodpanda、HonestBee、愛月嫂 References 單打獨鬥累了，共享經濟業者組協會盼政府溝通不卡關 「共享車位」合法了！每月共享時數不得超過240小時 創業啟示錄：共享經濟的夢想與現實 推動「共享車位」 4大困境待解套 the people who share Airbnb 房東經驗 在台灣現行民宿法規框架之下，「共享自家空房間」就是違法 同是共享車！為何oBike惹民怨，WeMo受支持、衝出百萬騎乘次數？ 中國共享單車ofo傳破產，電動滑板車會是另一個泡沫嗎？ 中國的共享單車潮 兩年營運規模擴增10倍！WeMo共享電動機車目標年底衝3千台 若按照WeMo前進海外的計畫，三年內將前往歐州和東南亞市場，或許在不久將來後，就有機會看到台灣團隊互打的精彩局面。 Sars: 出國也要互毆給別人看笑話是嗎… 一句「活該」道不盡ofo敗局，中國街上車影連墳場都消失 電動滑板車Bird、Lime熱潮退燒中，投資人紛紛急踩煞車 共享經濟真的涼了？ 舊金山滑板車之亂 : 是乘車共享2.0，還是另一場浩劫? 觸目驚心的共享單車墳場，中國創業史上最慘烈的大屠殺

GCP 在開 Compute Engine （GCE）的新機器時，預設的主硬碟（Root Volume）大小是 10GB，一開始可能很夠用，為了節省費用，也不會一次就把硬碟大小設定太大，但隨著時間推移，可能硬碟用量突然增加很多，造成硬碟空間不足的情況，但機器都架好了，要重架、移機也很麻煩，如果是不能關機的線上服務又更棘手。或是額外掛載一顆硬碟上去，分割並製作檔案系統後，再將部份的資料搬移到新的硬碟中，這個方式會需要檔案搬移的時間。還好 GCP 支援動態調整已經掛載正在使用的硬碟大小，而且還不需要停機，再加上 Linux 裡面相關的磁碟分割及檔案系統操作，可以無痛擴充硬碟空間大小。 GCP 的主控台已經將擴充硬碟容量這件事情變得非常方便，首先從 GCP Console - Compute Engine - Disks 找到對應的專案內需要擴充容量的硬碟，可以看到目前的硬碟大小為 10GB，進入右上方的編輯（Edit），即可直接調整硬碟大小（最大 64TB），完成後按下下方藍色儲存（Save）按鈕，就完成了硬碟容量的擴充。 不過需要注意一些事情： 由於 GCP 上開機硬碟使用 MBR 開機，本身有 2TB 的上限，開機硬碟擴充容量時不能超過 2TB 的限制 擴充硬碟是不可反悔的，因此只能擴大，不能縮小硬碟大小 如果是習慣用 gcloud 指令，也可以透過指令完成一樣的操作： # gcloud compute disks resize [DISK_NAME] --size [DISK_SIZE] 例如將 instance-1 硬碟擴增為 20GB： # gcloud compute disks resize instance-1 --size 20GB This command increases disk size. This change is not reversible. For more information, see: https://cloud.google.com/sdk/gcloud/reference/compute/disks/resize Do you want to continue (Y/n)? y Updated [https://www.googleapis.com/compute/v1/projects/project-1/zones/asia-east1-b/disks/instance-1]. 就這麼簡單！（才怪）

Hyperledger Blockchain Technologies For Business Enterprise adoption patterns - Use case examples from practice - Into Hyperledger Fabric v1 (Hyperledger Meetup) IBM技术专家：Hyperleger Fabric 架构与部署实例解析 一文理解超級賬本Hyperledger Fabric的架構與坑 Consortium Blockchain Smart Contracts Hyperledger Architecture, Volume II, Smart Contracts Hyperledger Fabric Hyperledger Fabric GitHub Hyperledger Fabric Docs Components Membership Service Provider(MSP) Peer Order Channel Chaincode Participants Assets Transactions Endorser Committer Submitter Docker Images 1.1.0 $ curl -sSL https://goo.gl/6wtTN5 | bash -s 1.1.0 REPOSITORY TAG IMAGE ID CREATED SIZE hyperledger/fabric-ca x86_64-1.1.0 72617b4fa9b4 2 months ago 299MB hyperledger/fabric-tools x86_64-1.1.0 b7bfddf508bc 2 months ago 1.46GB hyperledger/fabric-orderer x86_64-1.1.0 ce0c810df36a 2 months ago 180MB hyperledger/fabric-peer x86_64-1.1.0 b023f9be0771 2 months ago 187MB hyperledger/fabric-javaenv x86_64-1.1.0 82098abb1a17 2 months ago 1.52GB hyperledger/fabric-ccenv x86_64-1.1.0 c8b4909d8d46 2 months ago 1.39GB hyperledger/fabric-zookeeper x86_64-0.4.6 92cbb952b6f8 3 months ago 1.39GB hyperledger/fabric-kafka x86_64-0.4.6 554c591b86a8 3 months ago 1.4GB hyperledger/fabric-couchdb x86_64-0.4.6 7e73c828fc5b 3 months ago 1.56GB 1.0.0

導讀會：公司賺錢有這麼難嗎 by Gipi 專注：不要包山包海，做專門生意。做好一件事，聘請專才，工作品質會提升，勝過競爭者 降低依賴：過度依賴一家公司的風險過高，要想辦法降低 建立銷售流程：把產品界定清楚，潛在顧客更有可能買單 清楚切割：關鍵人物和公司完全切割 收錢才動工：創造正向現金流量週期 聚焦，玩真的：不要怕推掉案子 營收試算：潛在客戶有多少 創造競爭：兩個業務 聘用產品型銷售：以既有的產品來滿足客戶的需求，而不會隨便做客製化 現金流 > 營收：轉型為產品型的過程 撐兩年：採用標準化產品的模式兩年以上才會反應在財報上 長期獎勵計劃：回報個人績效與忠誠 挑選適合的仲介：確定他們懂你的行業 成為搶手貨：不只評估單一買家 擴大格局：編寫三年經營計畫，勾勒出事業的可能性 專注細節 用現金不用股票 創造經常性收入 1. 回購 2. 交叉銷售 3. 綁定銷售 4. 訂閱制 產品型企業：標準的銷售流程、盡可能不做客製化 買產品先付錢，買服務後付錢 富人思維：用自己豐富的資源換取自己稀缺的資源 策略性買主一班會更願意花錢 服務型企業稱客戶為 Client，產品型企業稱客戶為 Customer Reference 【Gipi導讀】公司賺錢有這麼難嗎？ [讀書心得] 公司賺錢有這麼難嗎？ (John Warrillow)

透過技術分享的方式順便來台灣找工程師去新加坡工作，個人是覺得這樣還算不錯，整體而言第一場技術 Lead 的分享還算不錯，雖然每個領域都只是點到為止，沒有一一深入探討，但也趁機會檢視一下平常營運系統會遇到的問題。 活動：蝦皮購物新加坡研發團隊技術分享會 時間：2018/3/1(四) 19:00-21:00 地點：蝦皮購物台北辦公室-信義區菸廠路88號9樓之1 兩年内如何把蝦皮從 0 做到 50 億 - 背後的工程難題 蝦皮新加坡研發團隊技術分享 Speaker：雷磊 Lei Lei，蝦皮新加坡總部技術負責人 全球 4 千多人 用戶下單時，先收錢還是先扣庫存？扣最後一個庫存後付款失敗，但已經送 Push Notification 給賣家 金額數值，應該用什麼 data type 儲存？long Android 共有多少螢幕 DPI？ Android WebView 和 Chrome WebKit 有什麼不同？ iOS 的 UIWebView 的 onscroll 事件在手指放開前不會被觸發怎麼辦？ Redis 在資料大小達到多少就無法用 bgsave 有效存擋？ 64GB Redis 有哪些指令在 production 上是不能用？keys 功能容易，效能難 用 Python+Django 如何提高吞吐量？Async Sars: 這不是一開始開發就要做的嗎… 什麼系統架構適合透過增加伺服器數量來擴充效能？Stateless Load Balancer 效能瓶頸如何解？ 一天 25TB 的 log 量，如何查？ 正在解... 一個 MySQL Cluster 裡 Master Slave 哪個壓力大？Slave 因為 Shopee 應用場景 Read 多於 Write 一個 MySQL table 多大後就必須 sharding？ 一個 MySQL database 多大後就必須分庫？ MySQL 跨庫的 transacrtion 怎麼解？還沒做到 快取容易，清快取難 庫存數量若有 cache，什麼時候更新比較好？ 哪一類內容一定要寫入 Comment？ 未來該注意的事情，而不是看程式碼就可以知道的東西 持久發展的研發團隊：Knowledge、Cluture 技術課程和分享（錄影、課後練習） 做事的同時，把人做好 保持開放心態，向他人學習 尊重事實 fect 和邏輯 logic 充分信任其他團隊，並肩作戰 可靠：言出必行，做不到也行但要早點說 對於任何問題，一定要研究到底 找到 root cause 保持好奇心，研究新技術，但不盲從 犯錯時，分析、修復、紀錄、不犯第二次 短期做產品，長期做平台 享受過程！

Mas 是一套可以透過指令方式操作 Mac App Store 的程式，類似於 Homebrew，對於需要批次複製安裝大量電腦，或是重新安裝 macOS 後需要一次把軟體、程式都安裝回來等需求，不用一個個慢慢裝。 搭配 Homebrew 與 mas，如果是有在 Mac App Store 上架的軟體，我會透過 mas 方式安裝，如果是沒上架的軟體，或是其他開發用到的指令，則會使用 Homebrew 來安裝，搭配使用效果雙倍！ 首先需要安裝好 Homebrew，安裝方式直接參考官網一行指令就搞定。 安裝 mas 指令： brew install mas 裝好後馬上可以查看目前 Mac Apple Store 已經裝了哪些軟體： mas list 接著就跟在 Mac Apple Store 上面搜尋軟體一樣，使用 mas search 指令來找尋想安裝的軟體，例如想安裝好用的郵件軟體 Spark 就可以輸入： mas search spark 可能會出現很多結果，根據判斷應該會是 1176895641 Spark - Love your email again 1176895641 就是 Spark 的 App ID，找到後就可以透過 mas install 來安裝它 mas install 1176895641 另外還有 mas outdated 指令可以查看有哪些軟體有出新版本可以更新，然後就可以用 mas upgrade 指令一次更新全部，或是後面接上 App ID 只更新指定的軟體。

Primary Failover Issue 用 GoLang 連 MongoDB 大部分會使用 mgo，最近遇到一個問題是，mgo 在連 MongoDB Cluster 的時候，由於 MongoDB rolling update 時，Primary 會換手（Failover）幾次，這會導致 mgo 在連線時會出現 EOF 錯誤。 找了些資料，看起來是 mgo 在重連 Primary 之後，並不會將連線狀態重設，需要程式自己手動重設，但是連線中斷時 mgo 本身不會知道，真正用到連線時連線失敗後才會知道，又無法知道什麼時候可以重設連線，不知道有沒有什麼好解法… Project Status Mgo 專案的 v2 branch 在 2016/08/18 之後已經沒有新的 commit，而作者也在 2017/03/31 在 Project status 這個 Issue 內回答到 mgo 專案目前的現況，大致來說就是原作者不打算繼續維護了。目前看到 GlobalSign 這間公司 Fork 出來的版本 還陸續有在修正問題，似乎也要考慮要不要轉換過去了。 Reference How to handle disconnections to mongodb server? (aka. autoconnect) mgo 的 session 與連接池