跳到主要內容

把陽光帶進金融科技:國泰金控的開源故事

[Banner 部落格圖]2025 COSCUP_Blog_Final

金融業為何也需要「開源 DNA」?

過去,開源(Open Source)在許多金融機構眼中或許只是「節省成本」的代名詞,甚至因為資安疑慮而敬而遠之。然而, 供應鏈攻擊(如 Log4Shell、XZ Utils)將風險推向巔峰 ,加上法規對可稽核、可追溯的要求日益嚴格,金融業不得不重新審視開源的真正價值。

對高度監管的金融業而言,開源不再只是成本議題,而是:

  • 把程式碼攤在陽光下 :安全問題可由全球社群快速發現與修補,降低踩雷風險。
  • 站在巨人肩膀上 :既有的開源資源豐富,無需從零開始,效率與品質兼具。
  • 減少單點依賴 :工具與框架由全球共同維護,不再受限於單一供應商的命運。

2023:OSI 誕生,一顆種子開始發芽

🧩 OSI 是什麼?

2023 年底,國泰金控啟動「開源創新發展小組」(Open Source Innovation, OSI),作為推動開源戰略的核心團隊,我們的初衷很單純:

「以開源賦能集團,加速數位轉型,並與全球技術接軌。」

🌱 OSI 三大願景

  • 加速轉型 :強化開源人才培育與技術力,導入創新工具與流程,促進協作並有效降低成本。
  • 集團賦能 :建立統一的開源導入、開發與安全規範,打造一站式開源平台。
  • 接軌國際 :積極參與全球開源社群,與 CNCF 等國際組織協作,共同推進雲原生技術。

2024:CNCF 與媒體曝光 — 開源正式成為企業戰略

  • 2024 年 9 月,國泰金控正式成為 CNCF Silver Member ,與全球 170 家開源先驅齊肩,象徵我們將開源納入企業級策略。
  • 同年,我們在中台微服務導入 SBOM(Software Bill of Materials)治理方案 ,強化軟體供應鏈安全,並獲得 iThome 專題報導
  • 在資安與監管要求最嚴苛的金融產業中,國泰選擇「擁抱開源」,不只是為了避免技術鎖定,更是以透明度換取信任與創新速度。

2025:三大實踐亮點 — 金融業的開源進擊

🛡️ 信任即平台:集團級開源套件治理

面對不斷演變的資安威脅,國泰金控建立了一套集團級的開源套件管理機制。

這不僅僅是簡單的開源軟體清單,更是一個全面的治理平台,確保所有使用開源套件都經過嚴格審核、掃描,並定期更新,符合內外部資安與法規要求。這套系統讓開發團隊能更安心地運用開源資源,同時也將信任內嵌在開發流程的每個環節中,實踐「信任即平台」的理念,其核心包含:

  • 管理層面 :統一管理開源套件來源與版本,確保每一個組件的生命週期可追溯。
  • 應用層面 :提供經過掃描與審查的套件,讓開發團隊快速、安全地取用。

我們內部推行 OSRB 治理 ,打破傳統金融的「孤島式 IT」,有效整合資源。我們建立了一套完善的標準化流程,從套件結合CI/CD、安全掃描,到最終的儲存與部署,每一步都嚴格遵循內部規範,並記錄完整的 SBOM,以確保軟體供應鏈的透明與安全。透過這套規範,我們能夠清晰地訂定開源策略,並確保其在集團內部的有效執行。

🤝 社群 × 文化 × 內源開源

我們深知,開源不僅是技術,更是一種文化。

  • 我們積極推動「 內源開源(InnerSource) 」,鼓勵內部跨團隊將開發流程與程式碼共享,建立如開源社群般的協作模式。透過內部技術分享並提供貢獻激勵,將開放、分享、協作的開源精神融入企業文化,形成一個充滿活力的技術社群,讓知識與經驗在集團內部快速流動。
  • 這種 開放協作的文化 ,打破傳統金融業保守與層級分明印象。我們鼓勵不同部門、甚至不同子公司之間的工程師共同參與開源專案,透過程式碼的貢獻與交流,形成更具彈性與效率的開發模式。這份文化也延伸到外部,積極參與或主辦開源社群活動,展現我們的開放與分享精神。
  • 此外,我們亦規劃 內部開源培訓計畫 ,舉辦定期技術工作坊,鼓勵員工貢獻程式碼、參與會議、擔任社群志工。這不僅提升了技術力,也吸引了更多優秀開源人才加入。

🚀 開源技術落地 - 從 DevOps 到 DevSecOps

國泰金控在開源技術的應用上,展現了從 DevOps 到 DevSecOps 的演進與深度整合。我們將開源工具廣泛應用於整個開發生命週期,以確保軟體開發的效率、品質與安全性 :

  • 持續整合與交付 (CI/CD) :利用 Helm 來定義、安裝及升級複雜的 Kubernetes 應用程式,簡化了微服務的部署與管理。導入 Argo CD 進行聲明式 GitOps 持續交付,並結合 Testkube 等測試框架,實現自動化測試與部署,加速開發流程並確保品質。
  • 混沌工程 (Chaos Engineering) :為了提升系統韌性,導入 Chaos Mesh 等混沌工程工具,透過模擬生產環境中的潛在故障,主動發現並修復系統弱點。
  • 資安與合規 (Security & Compliance)
    • 利用 Keycloak 進行身份與存取管理,確保系統的安全性
    • 透過 Syft 生成軟體物料清單(SBOM),實現對軟體組件的全面可視化
    • 運用 Sigstore 進行軟體供應鏈簽署,確保軟體的完整性與來源可信度

這些開源工具的導入,使得國泰金控的開發流程從單純的 DevOps 邁向了更注重安全的全方位 DevSecOps。我們將安全措施整合到開發流程的每一個階段,從程式碼撰寫到部署,全面自動化安全檢測,大幅提升了軟體開發的效率與安全性,有效應對各種潛在風險。這種廣泛且深入的開源技術應用,使得國泰的技術棧更具彈性、可擴展性與成本效益。

行動呼籲:COSCUP 2025 與你相見!

在 COSCUP 2025 現場,我們將於「Open Source Policy」軌發表:

《透明、安全與合規:國泰中台微服務供應鏈安全治理的 SBOM、CBOM 與 AIBOM 新思維》

📍歡迎來攤位找我們聊聊,也別忘了追蹤我們,掌握最新 FinTech 金融開源動態:

👉🏻 加入國泰金控 LinkedIn
📝 開源小組 Medium:實踐與技術洞察
📣 開源小組 Facebook:活動與社群互動

國泰,擁抱開源

讓金融更透明,讓創新不再遙遠。
與我們一起推動金融開源,走得更深、更遠!

#Cathay #OpenSource #FinTech #COSCUP2025

Labels:

留言

張貼留言

這個網誌中的熱門文章

Lead the Trend — COSCUP 2026 Early Bird CfP

COSCUP 2026 Early Bird CfP Lead the Trend — COSCUP 2026 Early Bird CfP Embracing the open-source spirit of release early, the Early Bird program allows the community to discover your ideas sooner and helps COSCUP build a stronger, more coherent program. As the conference continues to grow each year while volunteer capacity becomes leaner, Early Bird submissions this year will be reviewed and announced together with the regular CfP. If you already have something you’re eager to share, make the most of the timeline by preparing and submitting early. We look forward to seeing your discoveries and adventures in open-source spark conversations at COSCUP 2026. Event Information Dates: August 8–9, 2026 Venue: National Taiwan University of Science and Technology (No. 43, Sec. 4, Keelung Rd., Da-an Dist., Taipei) Topics & Format Proposals should relate to open culture or open source technology. ...
張貼留言
Read more »

COSCUP 2026 Call for Participation, 議程軌與攤位即日起開放申請

Jump to English   COSCUP 2026的社群議程/攤位即日起開始接受申請,社群議程於3月23日截止申請,社群攤位於6月9號截止。請有興趣在今年與我們共襄盛舉的社群把握機會! 👉  申請加入 以下介紹如何在 COSCUP 籌辦議程軌或攤位的流程及注意事項。 社群議程 大會提供開源專案或社群場地與行政協助,您可以在活動期間舉辦關於任何開源議題的討論、座談、工作坊等。 重要日期 2026-02-23 社群招募表單 Open 2026-03-11 合作社群招募說明會 2026-03-23 社群議程截止申請 2026-03-26 公佈 COSCUP 2026 議程合作社群名單 2026-03-28 聯合徵稿開始 2026-05-09 聯合徵稿截止 2026-06-09 公告並通知錄取及未錄取稿件 2026-06-23 議程表安排 due day 2026-08-08~2026-08-09 COSCUP 2026 參與方式與注意事項 為使合作順利,請詳閱社群合作準則,申請加入即視為貴社群同意相關合作準則。 議程可利用時段 主辦社群可利用之時段預設為一日,約 3-6 小時左右。歷年來 COSCUP 演講教室及時段皆供不應求,因此我們不希望資源浪費。申請此案代表您承諾將充分利用所配發的議程空間。排設議程時,每段議程時間長短、是否有休息時間等,由主辦社群自由決定。主辦社群需在約定時限前完成議程表安排。 如果您沒有信心稿件能填滿全天議程,請與其他社群共同申請,或在申請書上註明希望 COSCUP 協助配對,我們會盡力而為但無法保證。 議程管理系統及共同徵稿流程 大會會建置議程管理系統 (Pretalx),所有議程內容需匯入以出現在大會議程表。 預設會安排各社群共同徵稿,若貴社群有其他安排請務必在申請加入時額外提出。 您需要在申請加入時提供徵稿時所希望收集的資訊(例如希望有哪類稿件、有沒有特殊欄位等等),大會將統整後一併發佈徵稿消息及表單。 現場紀錄 大會需要貴社群安排人力共同參與現場紀錄。現場工作人員務必協助確保講廳內的錄影器材持續運作、正確錄製影片。會後會預留人力依據指南協助剪輯影片。 影片將以 CC BY 4.0 授權釋出。如果特定講者要求不可錄影或直播,請謹慎考慮是否收納,並與大會溝通後方可收入議程。 大會僅能運用有限資源及人...
張貼留言
Read more »

COSCUP 2018 CfP is open! Submit your proposal before May 25th, 2018.

Finally, the CfP of COSCUP 2018 is here ! (中文見下方) We have pleasure to work with GNOME.Asia Summit to have a joint conference this year, plus 16 Community Room tracks and special tracks hosted by the staff, makes COSCUP 2018 a 15-parallel-tracks conference -- wow! Thanks to all the community members to make it happen. We are looking for talks in several open-source related areas, please submit your proposal before May 25th, 2018 . After the review process from the coordinators, we will publish the full programme in early July. All the talks will possibly be recorded and the video clips will be released under CC:BY-SA 4.0 . If you have something in your talk that cannot be recorded or released under CC, please do leave a note in your proposal. Important dates: Submission deadline: May 25th, 2018 Full programme published: Early July COSCUP 2018: Aug 11-12 (with welcome party at 10th night), at National Taiwan University of Science and Technology Submit your proposal here! 今年 ...
4 則留言
Read more »