跳到主要內容

把陽光帶進金融科技:國泰金控的開源故事

[Banner 部落格圖]2025 COSCUP_Blog_Final

金融業為何也需要「開源 DNA」?

過去,開源(Open Source)在許多金融機構眼中或許只是「節省成本」的代名詞,甚至因為資安疑慮而敬而遠之。然而, 供應鏈攻擊(如 Log4Shell、XZ Utils)將風險推向巔峰 ,加上法規對可稽核、可追溯的要求日益嚴格,金融業不得不重新審視開源的真正價值。

對高度監管的金融業而言,開源不再只是成本議題,而是:

  • 把程式碼攤在陽光下 :安全問題可由全球社群快速發現與修補,降低踩雷風險。
  • 站在巨人肩膀上 :既有的開源資源豐富,無需從零開始,效率與品質兼具。
  • 減少單點依賴 :工具與框架由全球共同維護,不再受限於單一供應商的命運。

2023:OSI 誕生,一顆種子開始發芽

🧩 OSI 是什麼?

2023 年底,國泰金控啟動「開源創新發展小組」(Open Source Innovation, OSI),作為推動開源戰略的核心團隊,我們的初衷很單純:

「以開源賦能集團,加速數位轉型,並與全球技術接軌。」

🌱 OSI 三大願景

  • 加速轉型 :強化開源人才培育與技術力,導入創新工具與流程,促進協作並有效降低成本。
  • 集團賦能 :建立統一的開源導入、開發與安全規範,打造一站式開源平台。
  • 接軌國際 :積極參與全球開源社群,與 CNCF 等國際組織協作,共同推進雲原生技術。

2024:CNCF 與媒體曝光 — 開源正式成為企業戰略

  • 2024 年 9 月,國泰金控正式成為 CNCF Silver Member ,與全球 170 家開源先驅齊肩,象徵我們將開源納入企業級策略。
  • 同年,我們在中台微服務導入 SBOM(Software Bill of Materials)治理方案 ,強化軟體供應鏈安全,並獲得 iThome 專題報導
  • 在資安與監管要求最嚴苛的金融產業中,國泰選擇「擁抱開源」,不只是為了避免技術鎖定,更是以透明度換取信任與創新速度。

2025:三大實踐亮點 — 金融業的開源進擊

🛡️ 信任即平台:集團級開源套件治理

面對不斷演變的資安威脅,國泰金控建立了一套集團級的開源套件管理機制。

這不僅僅是簡單的開源軟體清單,更是一個全面的治理平台,確保所有使用開源套件都經過嚴格審核、掃描,並定期更新,符合內外部資安與法規要求。這套系統讓開發團隊能更安心地運用開源資源,同時也將信任內嵌在開發流程的每個環節中,實踐「信任即平台」的理念,其核心包含:

  • 管理層面 :統一管理開源套件來源與版本,確保每一個組件的生命週期可追溯。
  • 應用層面 :提供經過掃描與審查的套件,讓開發團隊快速、安全地取用。

我們內部推行 OSRB 治理 ,打破傳統金融的「孤島式 IT」,有效整合資源。我們建立了一套完善的標準化流程,從套件結合CI/CD、安全掃描,到最終的儲存與部署,每一步都嚴格遵循內部規範,並記錄完整的 SBOM,以確保軟體供應鏈的透明與安全。透過這套規範,我們能夠清晰地訂定開源策略,並確保其在集團內部的有效執行。

🤝 社群 × 文化 × 內源開源

我們深知,開源不僅是技術,更是一種文化。

  • 我們積極推動「 內源開源(InnerSource) 」,鼓勵內部跨團隊將開發流程與程式碼共享,建立如開源社群般的協作模式。透過內部技術分享並提供貢獻激勵,將開放、分享、協作的開源精神融入企業文化,形成一個充滿活力的技術社群,讓知識與經驗在集團內部快速流動。
  • 這種 開放協作的文化 ,打破傳統金融業保守與層級分明印象。我們鼓勵不同部門、甚至不同子公司之間的工程師共同參與開源專案,透過程式碼的貢獻與交流,形成更具彈性與效率的開發模式。這份文化也延伸到外部,積極參與或主辦開源社群活動,展現我們的開放與分享精神。
  • 此外,我們亦規劃 內部開源培訓計畫 ,舉辦定期技術工作坊,鼓勵員工貢獻程式碼、參與會議、擔任社群志工。這不僅提升了技術力,也吸引了更多優秀開源人才加入。

🚀 開源技術落地 - 從 DevOps 到 DevSecOps

國泰金控在開源技術的應用上,展現了從 DevOps 到 DevSecOps 的演進與深度整合。我們將開源工具廣泛應用於整個開發生命週期,以確保軟體開發的效率、品質與安全性 :

  • 持續整合與交付 (CI/CD) :利用 Helm 來定義、安裝及升級複雜的 Kubernetes 應用程式,簡化了微服務的部署與管理。導入 Argo CD 進行聲明式 GitOps 持續交付,並結合 Testkube 等測試框架,實現自動化測試與部署,加速開發流程並確保品質。
  • 混沌工程 (Chaos Engineering) :為了提升系統韌性,導入 Chaos Mesh 等混沌工程工具,透過模擬生產環境中的潛在故障,主動發現並修復系統弱點。
  • 資安與合規 (Security & Compliance)
    • 利用 Keycloak 進行身份與存取管理,確保系統的安全性
    • 透過 Syft 生成軟體物料清單(SBOM),實現對軟體組件的全面可視化
    • 運用 Sigstore 進行軟體供應鏈簽署,確保軟體的完整性與來源可信度

這些開源工具的導入,使得國泰金控的開發流程從單純的 DevOps 邁向了更注重安全的全方位 DevSecOps。我們將安全措施整合到開發流程的每一個階段,從程式碼撰寫到部署,全面自動化安全檢測,大幅提升了軟體開發的效率與安全性,有效應對各種潛在風險。這種廣泛且深入的開源技術應用,使得國泰的技術棧更具彈性、可擴展性與成本效益。


行動呼籲:COSCUP 2025 與你相見!

在 COSCUP 2025 現場,我們將於「Open Source Policy」軌發表:

《透明、安全與合規:國泰中台微服務供應鏈安全治理的 SBOM、CBOM 與 AIBOM 新思維》

📍歡迎來攤位找我們聊聊,也別忘了追蹤我們,掌握最新 FinTech 金融開源動態:

👉🏻 加入國泰金控 LinkedIn
📝 開源小組 Medium:實踐與技術洞察
📣 開源小組 Facebook:活動與社群互動

國泰,擁抱開源

讓金融更透明,讓創新不再遙遠。
與我們一起推動金融開源,走得更深、更遠!

#Cathay #OpenSource #FinTech #COSCUP2025

留言

這個網誌中的熱門文章

COSCUP 2025 BoF / Hacking Corners 參與辦法及使用規則

你想在 COSCUP 現場發起一場自由討論、技術分享,或是臨時揪團寫 code 嗎?COSCUP 在會場安排了 BoF(Birds of a Feather)與 Hacking Corner 空間,鼓勵參與者除了聽議程,也能有更多樣的交流機會。以下說明本屆參與辦法與使用規則。 Want to initiate a spontaneous discussion, technical sharing, or impromptu code sprint at COSCUP? As always, COSCUP offers BoF (Birds of a Feather) and Hacking Corner spaces at the venue to encourage participants to engage beyond just attending sessions. Below are the participation guidelines and usage rules for these spaces. (English below) 1. 什麼是 BoF?和議程有什麼不一樣? BoF(Birds of a Feather)是一種由與會社群或參與者自主發起的小型聚會,形式彈性、主題不限。不同於主議程由大會策劃與審核,BoF 鼓勵任何人針對特定議題自發討論、交流,強調「興趣導向」與「雙向參與」。 2. 如何舉辦 BoF? 今年大會提供 TR310-2 作為 BoF 場地,建議會前於 電子佈告欄 預約空間使用及宣傳曝光。亦請詳閱 注意事項 。 3. 如何參加 BoF? 事前在電子佈告欄的 揪團區 +1 也可在現場直接前往 BoF Room(TR310-2)門口查看最新告示,無需報名,自由進出與參與討論 4. 會場外也有 BoF! COSCUP 是各地開源社群難得一年一度聚在一起的機會,很多社群會利用大會兩天晚上,甚至大會前後一兩周的時間舉辦聚會!無論想舉辦或想參與,都可以隨時利用 電子佈告欄 宣傳或查詢。 5. 什麼是 Hacking Corner? Hacking Corner 是現場開放空間(過去稱為 Hacking Room),讓會眾可臨時揪團進行共創、開發、技術交流等非正式活動。每個位置可約容納 10 人,不需...

COSCUP Lightning Talks - 2025 ⚡️

COSCUP 2025 閃電秀 / Lightning talks Photo by COSCUP 2024 紀錄組 閃電秀是一個由多場超短時的議程發表構成的一個表演性質居多的活動,通常會被放在獨佔時段,所有會眾都會聚集到這個會議廳觀賞這齣表演,稱之為閃電秀 (Lightning Talks)。 今年的閃電秀將於 2025 Aug 10 週日的下午 16:15 - 17:00 在 RB105 議程軌開講。 本次閃電秀的參加規則如下: 每個講題 3 分鐘,時間一到就會立刻切掉您的畫面,並邀請觀眾拍手掌聲鼓勵。 歡迎將您想曝光的 Projects、Idea 或小議題在這裡跟大家分享! 應遵守 COSCUP 的 CoC 規則 的原則之下進行發表演說,主持人有權基於本規則的判斷將不適合的發表暫停,並向大家說明理由。 需要再時限內完成報名 敬請自備筆電(和 HDMI 轉接器)上台 需要提早一場議程 (在結束前) 到 Main Hall (RB105) 報到 沒有限制發表語言,但建議可以使用英文或中文,大部分的現場觀眾能夠識別這兩種語言 *所有時區皆為 UTC+8 Lightning Talks is an event featuring multiple short speeches or presentations, typically held within an exclusive time slot. All attendees gather in the main hall to watch the show. This year, the Lightning talks is on Aug 10th from 16:15 - 17:00 (UCT+8) at Room RB105! Each talk is limited to 3 minutes. Once the time is up, your screen will be cut off immediately, and the audience will be invited to applaud and show encouragement. You're welcome to share any projects, ideas, or small topics you...

2025 議程人氣大揭密!

COSCUP 2025 議程人氣大揭密! 7/9 議程測試上線,今年的 COSCUP 大家最關注的究竟是哪些議程?為了滿足(我們自己也很好奇)大家的好奇心,我們分析了一下 Google Analytics (GA) 報表的排行榜:「最多關注(瀏覽數)」、「最高人氣(活躍使用者數)」及「最具深度(每位活躍使用者的平均參與時間)」來啦! 不管你是第一次參加 COSCUP 的新朋友,還是每年都熱情參與的忠實社群夥伴,都歡迎來瞧瞧這份議程人氣大揭密! 三大指標,看懂關注焦點 我們這次的分析分為「台灣」、「國際」以及「加總」三個區塊,每一個都分別整理出前幾名的議程,讓你快速掌握不同參與者的興趣點。 最多關注(瀏覽數): 最直觀地告訴我們,哪些議程最吸引大家的目光。 最高人氣(活躍使用者數): 讓我們了解,哪些議程讓最多人真正點進去、一探究竟。 最具深度(每位活躍使用者的平均參與時間): 幫助我們發現,哪些議題讓大家停留最久,深入了解內容。 從數據看趨勢,今年的議題熱點 從這份資料中,我們可以觀察到今年 COSCUP 大家感興趣的話題,不僅有傳統開源軟體與程式語言,更有不少議程圍繞在 AI、資料治理、安全合規,以及社群經營等熱門趨勢。 以瀏覽量最高的議程來看,許多朋友依然熱烈追蹤知名講者與經典技術主題。而從參與時間的深度指標來看,一些議題雖然未必獲得大量瀏覽,卻能讓點進去花更多時間細細品味。 同時,我們特別針對國際觀眾的喜好進行分析,也看出國際社群更偏好具有跨國經驗分享、全球趨勢分析與技術實踐經驗的內容,讓我們更加理解國際與在地社群的共同性與差異性。 一起掌握開源潮流!  國際大家看什麼? 最多關注 排名 作者 議程標題 Track 日期時間 議程教室 1 王良丞/LCWang 4色小尺寸電子紙的DRM驅動程式開發之旅 System Software 08-10 09:30 TR213 2 John Ho 何重義、Jessie.D Chang 聊心茶室媽媽桑、Joanna Chen陳芸緻、Bernice Ch...