筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

『有些知識學校不會教你，而是需要從工作中一點一滴累積。』

跨國軟體開發就是這樣的事。

Hi 大家好，我是 Jayden ，我很幸運在外商待了很多年，遇到很多很好的前輩和主管，經年累月下來，教會了我很多事。這幾天寫完季度報告 (Q2)，我的團隊狀況算是很不錯，提早完成了許多目標，照例整理工作筆記，盤點自己團隊有哪些做得好與做不好的地方。

在整理筆記的過程中，我覺得如果這些知識能夠讓多年前的我就提早知道，可以少走很多冤枉路。因此決定寫這篇文章，作為經驗的總結，希望能幫助到有需要的人，也算是對我自己的心得回顧。

所以我決定撰寫系列文，分享跨國軟體開發在「準備期間」 、「執行期間」 、「日常準備」這三個時期的重要原則。與其他專案相比，跨國軟體開 …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

你是否發現 Retro 討論會逐漸流於形式？在每一次 Sprint 後的 Retro 檢討會，大部分團隊用的句型都是：

1. 我們哪裡做得好？(Doing Good)
2. 我們哪裡可以做得更好 ？ (Could be better)

但是，有些時候團隊中的問題已經「盤根錯節」或是「隱匿難尋」，不是僅僅靠上述的句型和討論就能把團隊「導回正軌」的，此時可以改用 ORID 的方式來開 Retro 檢討會，這也是我過去幾年與團隊時常使用的方法，並且收到很好的效果。以下將分享這個方法，以及實際的執行方式。

本篇內容：
✔ ORID 討論法怎麼做？
✔ ORID 討論法的優點與挑戰
✔ 小結

▍ORID 討論法怎麼做？

ORID 是一套國際知名且簡單易用的提問方法論，能夠幫助使用者 …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

衡量軟體工作進度向來不是一件容易的事情，想像一下 ，在聽工作進度的時候，你更喜歡聽到哪一種報告方式：

(1) 我已經完成了模組的70%， 明天會完成90%(2) 我先做了A功能，已經給業務先測過了，目前少B和C功能，明天會先完成B功能

想必大家都會選擇後者，然而這兩者的差別又在哪裡呢？

先說結論，我認為是後者採用了「可用的軟體 」(Working Software) 作爲衡量進度的標準，而前者沒有。以管理者的角度來說，透過「可用的軟體」能夠讓我們更有效的來控管進度，讓每一次「進度」等於產品「價值增加」。

Working software is the primary measure of progress

— Agile Manifesto

敏捷宣言(A …

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

電玩大廠「美商藝電」 (Electronic Arts, EA) 日前遭到駭客入侵，盜走約 780G 的遊戲程式碼在網路上販賣， 其中包含「 FIFA 21 」以及「戰地風雲 (Battlefield)」系列所使用的遊戲引擎 Frostbite 都被偷走，可以說是損失慘重。最令人驚訝的是，雖然是入侵電玩大廠，駭客使用的手法並不複雜，可以說幾乎是靠「人」進行「詐騙」。

大部分的網路上的內容只說明單一案件駭客攻擊的方式，本篇文章將講解實務上怎麼防禦這類「詐騙」型的攻擊，怎麼利用一些「主動」的防禦，來避免人性的弱點，也會分享駭客進行詐騙的技巧(利用好奇心、愧疚感等等手法)，讓你有深入的 …

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

大家旅行的時候喜歡跟團還是自由行呢？或是否有被導遊放生變成自由行的體驗？本篇文章將使用「旅遊」的概念來說明「開放式重定向 Open Redirect 」攻擊手法，便於大家了解這項攻擊手法的嚴重性。

這類攻擊最常發生在網站登入流程，因為網站登入後的跳轉如果沒有指定白名單或做驗證，很容易被駭客利用來做「釣魚攻擊」，那麼防禦的重點就在於怎麼正確的「驗證」跳轉的網址了。

本篇文章將先說明「開放式重定向 Open Redirect 」的攻擊原理與損害，並先說明「錯誤」的防禦方式，供大家自己的防禦方式是否正確，最後再分享正確的防禦重點事項。

本篇內容：
✔ 開放式重定向 Open Redirec …

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

鴻門宴的故事相信很多人都聽過，其中「項莊舞劍，意在沛公」更是一段著名的橋段，由於「伺服器端請求偽造」的攻擊概念較為複雜，我們將用這個概念來講解「伺服器請求偽造」的攻擊原理，除了幫助大家更易於理解之外，也能增添一些趣味性。

「伺服器端請求偽造」英文全名為 Server Side Request Forgery ，簡稱 SSRF ，是較為複雜一些的網站攻擊手段，駭客必須先收集部分的資訊 (例如：內部使用的 API ) 才能達成攻擊。但這並不表示這類的攻擊不容易發生，反而隨著許多第三方 Open API 的流行與廣泛於企業內使用 (例如：Google API、Facebook API、AWS …

筆者任職於 Yahoo ，線上課程：《經典駭客攻擊教程：給每個人的網站安全入門》｜粉絲團：《程式猿吃香蕉🍌》

目錄遍歷 (Path Traversal) 是一種經典的網站攻擊手法，概念很簡單，卻也最容易被大家忽略，即使是有多年開發經驗的工程師，也有可能一不小心而犯錯。

許多人對於目錄遍歷的誤解之處在於：以為駭客只會在前端網頁的網址做目錄遍歷，或是以為前端頁面框架的路由(Router) 功能可以保護你，但其實駭客會在你意想不到的地方進行目錄遍歷，例如：API 路由等等。

本篇文章將會介紹目錄遍歷的攻擊原理、提供實際攻擊範例以及說明該防禦的注意事項。

本篇內容：
✔ 目錄遍歷的攻擊原理
✔ 實際攻擊範例: 前端網址遍歷 & API 路由遍歷
✔ 防禦的注意事項

▍目錄遍歷的攻擊原理

目錄遍歷 (Path traver …

筆者任職於 Yahoo ，粉絲團：《程式猿吃香蕉🍌》

首先感謝主辦單位提供了這麼棒的活動，一連兩天的社群技術議程讓我收穫滿滿，在社群日所分享的主題並不限於 .Net 的技術，對於第一次與會的我感到十分新鮮，在此也要肯定微軟在台灣對技術社群的耕耘。

附帶一提，我目前所在的工作專案上並未使用到 .Net 的技術，會參加此活動實在是因為議程主題太吸引我，尤其是 91 App 主講的幾個主題。在實際參與後，也完全沒讓我失望，不僅滿滿的乾貨，也很啟迪人心。

此外，兩天活動中精心安排的「捕捉大神」活動設計也十分有趣，以集點的概念用 Line Bot 掃描在講者身上的 QR Code (如下圖所示)，算是給了許多生性害羞的工程師一個由頭，可以多與講者交流，我自己也借此機會與講者小聊了一下。