![[Banner 部落格圖]2025 COSCUP_Blog_Final](https://hackmd.io/_uploads/Hykbuh4rxg.png)
金融業為何也需要「開源 DNA」?
過去,開源(Open Source)在許多金融機構眼中或許只是「節省成本」的代名詞,甚至因為資安疑慮而敬而遠之。然而, 供應鏈攻擊(如 Log4Shell、XZ Utils)將風險推向巔峰 ,加上法規對可稽核、可追溯的要求日益嚴格,金融業不得不重新審視開源的真正價值。
對高度監管的金融業而言,開源不再只是成本議題,而是:
- 把程式碼攤在陽光下 :安全問題可由全球社群快速發現與修補,降低踩雷風險。
- 站在巨人肩膀上 :既有的開源資源豐富,無需從零開始,效率與品質兼具。
- 減少單點依賴 :工具與框架由全球共同維護,不再受限於單一供應商的命運。
2023:OSI 誕生,一顆種子開始發芽
🧩 OSI 是什麼?
2023 年底,國泰金控啟動「開源創新發展小組」(Open Source Innovation, OSI),作為推動開源戰略的核心團隊,我們的初衷很單純:
「以開源賦能集團,加速數位轉型,並與全球技術接軌。」
🌱 OSI 三大願景
- 加速轉型 :強化開源人才培育與技術力,導入創新工具與流程,促進協作並有效降低成本。
- 集團賦能 :建立統一的開源導入、開發與安全規範,打造一站式開源平台。
- 接軌國際 :積極參與全球開源社群,與 CNCF 等國際組織協作,共同推進雲原生技術。
2024:CNCF 與媒體曝光 — 開源正式成為企業戰略
- 2024 年 9 月,國泰金控正式成為 CNCF Silver Member ,與全球 170 家開源先驅齊肩,象徵我們將開源納入企業級策略。
- 同年,我們在中台微服務導入 SBOM(Software Bill of Materials)治理方案 ,強化軟體供應鏈安全,並獲得 iThome 專題報導 。
- 在資安與監管要求最嚴苛的金融產業中,國泰選擇「擁抱開源」,不只是為了避免技術鎖定,更是以透明度換取信任與創新速度。
2025:三大實踐亮點 — 金融業的開源進擊
🛡️ 信任即平台:集團級開源套件治理
面對不斷演變的資安威脅,國泰金控建立了一套集團級的開源套件管理機制。
這不僅僅是簡單的開源軟體清單,更是一個全面的治理平台,確保所有使用開源套件都經過嚴格審核、掃描,並定期更新,符合內外部資安與法規要求。這套系統讓開發團隊能更安心地運用開源資源,同時也將信任內嵌在開發流程的每個環節中,實踐「信任即平台」的理念,其核心包含:
- 管理層面 :統一管理開源套件來源與版本,確保每一個組件的生命週期可追溯。
- 應用層面 :提供經過掃描與審查的套件,讓開發團隊快速、安全地取用。
我們內部推行 OSRB 治理 ,打破傳統金融的「孤島式 IT」,有效整合資源。我們建立了一套完善的標準化流程,從套件結合CI/CD、安全掃描,到最終的儲存與部署,每一步都嚴格遵循內部規範,並記錄完整的 SBOM,以確保軟體供應鏈的透明與安全。透過這套規範,我們能夠清晰地訂定開源策略,並確保其在集團內部的有效執行。
🤝 社群 × 文化 × 內源開源
我們深知,開源不僅是技術,更是一種文化。
- 我們積極推動「 內源開源(InnerSource) 」,鼓勵內部跨團隊將開發流程與程式碼共享,建立如開源社群般的協作模式。透過內部技術分享並提供貢獻激勵,將開放、分享、協作的開源精神融入企業文化,形成一個充滿活力的技術社群,讓知識與經驗在集團內部快速流動。
- 這種 開放協作的文化 ,打破傳統金融業保守與層級分明印象。我們鼓勵不同部門、甚至不同子公司之間的工程師共同參與開源專案,透過程式碼的貢獻與交流,形成更具彈性與效率的開發模式。這份文化也延伸到外部,積極參與或主辦開源社群活動,展現我們的開放與分享精神。
- 此外,我們亦規劃 內部開源培訓計畫 ,舉辦定期技術工作坊,鼓勵員工貢獻程式碼、參與會議、擔任社群志工。這不僅提升了技術力,也吸引了更多優秀開源人才加入。
🚀 開源技術落地 - 從 DevOps 到 DevSecOps
國泰金控在開源技術的應用上,展現了從 DevOps 到 DevSecOps 的演進與深度整合。我們將開源工具廣泛應用於整個開發生命週期,以確保軟體開發的效率、品質與安全性 :
- 持續整合與交付 (CI/CD) :利用 Helm 來定義、安裝及升級複雜的 Kubernetes 應用程式,簡化了微服務的部署與管理。導入 Argo CD 進行聲明式 GitOps 持續交付,並結合 Testkube 等測試框架,實現自動化測試與部署,加速開發流程並確保品質。
- 混沌工程 (Chaos Engineering) :為了提升系統韌性,導入 Chaos Mesh 等混沌工程工具,透過模擬生產環境中的潛在故障,主動發現並修復系統弱點。
-
資安與合規 (Security & Compliance)
:
- 利用 Keycloak 進行身份與存取管理,確保系統的安全性
- 透過 Syft 生成軟體物料清單(SBOM),實現對軟體組件的全面可視化
- 運用 Sigstore 進行軟體供應鏈簽署,確保軟體的完整性與來源可信度
這些開源工具的導入,使得國泰金控的開發流程從單純的 DevOps 邁向了更注重安全的全方位 DevSecOps。我們將安全措施整合到開發流程的每一個階段,從程式碼撰寫到部署,全面自動化安全檢測,大幅提升了軟體開發的效率與安全性,有效應對各種潛在風險。這種廣泛且深入的開源技術應用,使得國泰的技術棧更具彈性、可擴展性與成本效益。
行動呼籲:COSCUP 2025 與你相見!
在 COSCUP 2025 現場,我們將於「Open Source Policy」軌發表:
《透明、安全與合規:國泰中台微服務供應鏈安全治理的 SBOM、CBOM 與 AIBOM 新思維》
📍歡迎來攤位找我們聊聊,也別忘了追蹤我們,掌握最新 FinTech 金融開源動態:
👉🏻
加入國泰金控 LinkedIn
📝
開源小組 Medium:實踐與技術洞察
📣
開源小組 Facebook:活動與社群互動
國泰,擁抱開源
讓金融更透明,讓創新不再遙遠。
與我們一起推動金融開源,走得更深、更遠!
#Cathay #OpenSource #FinTech #COSCUP2025
留言