跳到主要內容

把陽光帶進金融科技:國泰金控的開源故事

[Banner 部落格圖]2025 COSCUP_Blog_Final

金融業為何也需要「開源 DNA」?

過去,開源(Open Source)在許多金融機構眼中或許只是「節省成本」的代名詞,甚至因為資安疑慮而敬而遠之。然而, 供應鏈攻擊(如 Log4Shell、XZ Utils)將風險推向巔峰 ,加上法規對可稽核、可追溯的要求日益嚴格,金融業不得不重新審視開源的真正價值。

對高度監管的金融業而言,開源不再只是成本議題,而是:

  • 把程式碼攤在陽光下 :安全問題可由全球社群快速發現與修補,降低踩雷風險。
  • 站在巨人肩膀上 :既有的開源資源豐富,無需從零開始,效率與品質兼具。
  • 減少單點依賴 :工具與框架由全球共同維護,不再受限於單一供應商的命運。

2023:OSI 誕生,一顆種子開始發芽

🧩 OSI 是什麼?

2023 年底,國泰金控啟動「開源創新發展小組」(Open Source Innovation, OSI),作為推動開源戰略的核心團隊,我們的初衷很單純:

「以開源賦能集團,加速數位轉型,並與全球技術接軌。」

🌱 OSI 三大願景

  • 加速轉型 :強化開源人才培育與技術力,導入創新工具與流程,促進協作並有效降低成本。
  • 集團賦能 :建立統一的開源導入、開發與安全規範,打造一站式開源平台。
  • 接軌國際 :積極參與全球開源社群,與 CNCF 等國際組織協作,共同推進雲原生技術。

2024:CNCF 與媒體曝光 — 開源正式成為企業戰略

  • 2024 年 9 月,國泰金控正式成為 CNCF Silver Member ,與全球 170 家開源先驅齊肩,象徵我們將開源納入企業級策略。
  • 同年,我們在中台微服務導入 SBOM(Software Bill of Materials)治理方案 ,強化軟體供應鏈安全,並獲得 iThome 專題報導
  • 在資安與監管要求最嚴苛的金融產業中,國泰選擇「擁抱開源」,不只是為了避免技術鎖定,更是以透明度換取信任與創新速度。

2025:三大實踐亮點 — 金融業的開源進擊

🛡️ 信任即平台:集團級開源套件治理

面對不斷演變的資安威脅,國泰金控建立了一套集團級的開源套件管理機制。

這不僅僅是簡單的開源軟體清單,更是一個全面的治理平台,確保所有使用開源套件都經過嚴格審核、掃描,並定期更新,符合內外部資安與法規要求。這套系統讓開發團隊能更安心地運用開源資源,同時也將信任內嵌在開發流程的每個環節中,實踐「信任即平台」的理念,其核心包含:

  • 管理層面 :統一管理開源套件來源與版本,確保每一個組件的生命週期可追溯。
  • 應用層面 :提供經過掃描與審查的套件,讓開發團隊快速、安全地取用。

我們內部推行 OSRB 治理 ,打破傳統金融的「孤島式 IT」,有效整合資源。我們建立了一套完善的標準化流程,從套件結合CI/CD、安全掃描,到最終的儲存與部署,每一步都嚴格遵循內部規範,並記錄完整的 SBOM,以確保軟體供應鏈的透明與安全。透過這套規範,我們能夠清晰地訂定開源策略,並確保其在集團內部的有效執行。

🤝 社群 × 文化 × 內源開源

我們深知,開源不僅是技術,更是一種文化。

  • 我們積極推動「 內源開源(InnerSource) 」,鼓勵內部跨團隊將開發流程與程式碼共享,建立如開源社群般的協作模式。透過內部技術分享並提供貢獻激勵,將開放、分享、協作的開源精神融入企業文化,形成一個充滿活力的技術社群,讓知識與經驗在集團內部快速流動。
  • 這種 開放協作的文化 ,打破傳統金融業保守與層級分明印象。我們鼓勵不同部門、甚至不同子公司之間的工程師共同參與開源專案,透過程式碼的貢獻與交流,形成更具彈性與效率的開發模式。這份文化也延伸到外部,積極參與或主辦開源社群活動,展現我們的開放與分享精神。
  • 此外,我們亦規劃 內部開源培訓計畫 ,舉辦定期技術工作坊,鼓勵員工貢獻程式碼、參與會議、擔任社群志工。這不僅提升了技術力,也吸引了更多優秀開源人才加入。

🚀 開源技術落地 - 從 DevOps 到 DevSecOps

國泰金控在開源技術的應用上,展現了從 DevOps 到 DevSecOps 的演進與深度整合。我們將開源工具廣泛應用於整個開發生命週期,以確保軟體開發的效率、品質與安全性 :

  • 持續整合與交付 (CI/CD) :利用 Helm 來定義、安裝及升級複雜的 Kubernetes 應用程式,簡化了微服務的部署與管理。導入 Argo CD 進行聲明式 GitOps 持續交付,並結合 Testkube 等測試框架,實現自動化測試與部署,加速開發流程並確保品質。
  • 混沌工程 (Chaos Engineering) :為了提升系統韌性,導入 Chaos Mesh 等混沌工程工具,透過模擬生產環境中的潛在故障,主動發現並修復系統弱點。
  • 資安與合規 (Security & Compliance)
    • 利用 Keycloak 進行身份與存取管理,確保系統的安全性
    • 透過 Syft 生成軟體物料清單(SBOM),實現對軟體組件的全面可視化
    • 運用 Sigstore 進行軟體供應鏈簽署,確保軟體的完整性與來源可信度

這些開源工具的導入,使得國泰金控的開發流程從單純的 DevOps 邁向了更注重安全的全方位 DevSecOps。我們將安全措施整合到開發流程的每一個階段,從程式碼撰寫到部署,全面自動化安全檢測,大幅提升了軟體開發的效率與安全性,有效應對各種潛在風險。這種廣泛且深入的開源技術應用,使得國泰的技術棧更具彈性、可擴展性與成本效益。

行動呼籲:COSCUP 2025 與你相見!

在 COSCUP 2025 現場,我們將於「Open Source Policy」軌發表:

《透明、安全與合規:國泰中台微服務供應鏈安全治理的 SBOM、CBOM 與 AIBOM 新思維》

📍歡迎來攤位找我們聊聊,也別忘了追蹤我們,掌握最新 FinTech 金融開源動態:

👉🏻 加入國泰金控 LinkedIn
📝 開源小組 Medium:實踐與技術洞察
📣 開源小組 Facebook:活動與社群互動

國泰,擁抱開源

讓金融更透明,讓創新不再遙遠。
與我們一起推動金融開源,走得更深、更遠!

#Cathay #OpenSource #FinTech #COSCUP2025

Labels:

留言

張貼留言

這個網誌中的熱門文章

Early Guide to Joining COSCUP 2025 

(Updated: Feb 13) Many people in the community are excited to find out how to participate in COSCUP 2025. We’ll share more updates soon, but here’s what we can share so far! You can join as a speaker, host a booth, organize a track, or become a sponsor. If you’re new to COSCUP, take a look at the article " COSCUP Unveiled " to learn more. Date and Location The event will take place at NTUST in Taipei, Taiwan, on a weekend in late July to early August, as usual. The planned dates for this year are August 9-10. Be a Speaker Our early bird Call for Proposals (CfP) is now opened!  If you have a presentation about open culture or open-source technology, we want to hear from you. Submitting early means you’ll hear back sooner about your proposal. Host a Booth Open-source communities can set up booths to display their work and interact with attendees. This is a great way to share your community’s projects and connect with others. Businesses that support open-source can also host a ...
張貼留言
Read more »

COSCUP 2025 BoF / Hacking Corners 參與辦法及使用規則

你想在 COSCUP 現場發起一場自由討論、技術分享,或是臨時揪團寫 code 嗎?COSCUP 在會場安排了 BoF(Birds of a Feather)與 Hacking Corner 空間,鼓勵參與者除了聽議程,也能有更多樣的交流機會。以下說明本屆參與辦法與使用規則。 Want to initiate a spontaneous discussion, technical sharing, or impromptu code sprint at COSCUP? As always, COSCUP offers BoF (Birds of a Feather) and Hacking Corner spaces at the venue to encourage participants to engage beyond just attending sessions. Below are the participation guidelines and usage rules for these spaces. (English below) 1. 什麼是 BoF?和議程有什麼不一樣? BoF(Birds of a Feather)是一種由與會社群或參與者自主發起的小型聚會,形式彈性、主題不限。不同於主議程由大會策劃與審核,BoF 鼓勵任何人針對特定議題自發討論、交流,強調「興趣導向」與「雙向參與」。 2. 如何舉辦 BoF? 今年大會提供 TR310-2 作為 BoF 場地,建議會前於 電子佈告欄 預約空間使用及宣傳曝光。亦請詳閱 注意事項 。 3. 如何參加 BoF? 事前在電子佈告欄的 揪團區 +1 也可在現場直接前往 BoF Room(TR310-2)門口查看最新告示,無需報名,自由進出與參與討論 4. 會場外也有 BoF! COSCUP 是各地開源社群難得一年一度聚在一起的機會,很多社群會利用大會兩天晚上,甚至大會前後一兩周的時間舉辦聚會!無論想舉辦或想參與,都可以隨時利用 電子佈告欄 宣傳或查詢。 5. 什麼是 Hacking Corner? Hacking Corner 是現場開放空間(過去稱為 Hacking Room),讓會眾可臨時揪團進行共創、開發、技術交流等非正式活動。每個位置可約容納 10 人,不需...
張貼留言
Read more »

COSCUP 2025 Call for Proposals / 徵稿辦法

COSCUP 常規徵稿已於 2025-05-10 截止,接下來進入加碼徵稿階段。加碼徵稿是為了提升大會的稿件品質,依據投稿狀況(數量、品質)部分徵稿主題可能提前喊停。最遲請於 05 月 24 日(AoE) 前投稿,徵稿主題可參考下方列表。 The regular call for proposals (CFP) for COSCUP closed on May 10, 2025. We are now entering the bonus CFP phase to improve the quality of submissions. Some topics may close earlier than expected, depending on the current status of submissions (in terms of quantity and quality). Please submit by May 24 (AoE) at the latest. You may refer to the topic list below for inspiration. 開始投稿 Submit Your Proposal 提案須知 Things you may need to know 演講形式:預設為現場30分鐘演講包含QA,若有其他需求可於提案系統註明,由各主題主辦單位決定如何安排。 Talk Format : The default format is a 30-minute on-site talk, including Q&A. If you have other requirements, please indicate them while submitting your proposal. The final arrangement will be decided independently by the organizers of each topic. 語言:COSCUP 受眾包含海內外與會者,大會不限制發表語言但鼓勵以英語發表。大會將公布雙語議程表,請提供中英文版議程介紹。 L...
張貼留言
Read more »