跳到主要內容

把陽光帶進金融科技:國泰金控的開源故事

[Banner 部落格圖]2025 COSCUP_Blog_Final

金融業為何也需要「開源 DNA」?

過去,開源(Open Source)在許多金融機構眼中或許只是「節省成本」的代名詞,甚至因為資安疑慮而敬而遠之。然而, 供應鏈攻擊(如 Log4Shell、XZ Utils)將風險推向巔峰 ,加上法規對可稽核、可追溯的要求日益嚴格,金融業不得不重新審視開源的真正價值。

對高度監管的金融業而言,開源不再只是成本議題,而是:

  • 把程式碼攤在陽光下 :安全問題可由全球社群快速發現與修補,降低踩雷風險。
  • 站在巨人肩膀上 :既有的開源資源豐富,無需從零開始,效率與品質兼具。
  • 減少單點依賴 :工具與框架由全球共同維護,不再受限於單一供應商的命運。

2023:OSI 誕生,一顆種子開始發芽

🧩 OSI 是什麼?

2023 年底,國泰金控啟動「開源創新發展小組」(Open Source Innovation, OSI),作為推動開源戰略的核心團隊,我們的初衷很單純:

「以開源賦能集團,加速數位轉型,並與全球技術接軌。」

🌱 OSI 三大願景

  • 加速轉型 :強化開源人才培育與技術力,導入創新工具與流程,促進協作並有效降低成本。
  • 集團賦能 :建立統一的開源導入、開發與安全規範,打造一站式開源平台。
  • 接軌國際 :積極參與全球開源社群,與 CNCF 等國際組織協作,共同推進雲原生技術。

2024:CNCF 與媒體曝光 — 開源正式成為企業戰略

  • 2024 年 9 月,國泰金控正式成為 CNCF Silver Member ,與全球 170 家開源先驅齊肩,象徵我們將開源納入企業級策略。
  • 同年,我們在中台微服務導入 SBOM(Software Bill of Materials)治理方案 ,強化軟體供應鏈安全,並獲得 iThome 專題報導
  • 在資安與監管要求最嚴苛的金融產業中,國泰選擇「擁抱開源」,不只是為了避免技術鎖定,更是以透明度換取信任與創新速度。

2025:三大實踐亮點 — 金融業的開源進擊

🛡️ 信任即平台:集團級開源套件治理

面對不斷演變的資安威脅,國泰金控建立了一套集團級的開源套件管理機制。

這不僅僅是簡單的開源軟體清單,更是一個全面的治理平台,確保所有使用開源套件都經過嚴格審核、掃描,並定期更新,符合內外部資安與法規要求。這套系統讓開發團隊能更安心地運用開源資源,同時也將信任內嵌在開發流程的每個環節中,實踐「信任即平台」的理念,其核心包含:

  • 管理層面 :統一管理開源套件來源與版本,確保每一個組件的生命週期可追溯。
  • 應用層面 :提供經過掃描與審查的套件,讓開發團隊快速、安全地取用。

我們內部推行 OSRB 治理 ,打破傳統金融的「孤島式 IT」,有效整合資源。我們建立了一套完善的標準化流程,從套件結合CI/CD、安全掃描,到最終的儲存與部署,每一步都嚴格遵循內部規範,並記錄完整的 SBOM,以確保軟體供應鏈的透明與安全。透過這套規範,我們能夠清晰地訂定開源策略,並確保其在集團內部的有效執行。

🤝 社群 × 文化 × 內源開源

我們深知,開源不僅是技術,更是一種文化。

  • 我們積極推動「 內源開源(InnerSource) 」,鼓勵內部跨團隊將開發流程與程式碼共享,建立如開源社群般的協作模式。透過內部技術分享並提供貢獻激勵,將開放、分享、協作的開源精神融入企業文化,形成一個充滿活力的技術社群,讓知識與經驗在集團內部快速流動。
  • 這種 開放協作的文化 ,打破傳統金融業保守與層級分明印象。我們鼓勵不同部門、甚至不同子公司之間的工程師共同參與開源專案,透過程式碼的貢獻與交流,形成更具彈性與效率的開發模式。這份文化也延伸到外部,積極參與或主辦開源社群活動,展現我們的開放與分享精神。
  • 此外,我們亦規劃 內部開源培訓計畫 ,舉辦定期技術工作坊,鼓勵員工貢獻程式碼、參與會議、擔任社群志工。這不僅提升了技術力,也吸引了更多優秀開源人才加入。

🚀 開源技術落地 - 從 DevOps 到 DevSecOps

國泰金控在開源技術的應用上,展現了從 DevOps 到 DevSecOps 的演進與深度整合。我們將開源工具廣泛應用於整個開發生命週期,以確保軟體開發的效率、品質與安全性 :

  • 持續整合與交付 (CI/CD) :利用 Helm 來定義、安裝及升級複雜的 Kubernetes 應用程式,簡化了微服務的部署與管理。導入 Argo CD 進行聲明式 GitOps 持續交付,並結合 Testkube 等測試框架,實現自動化測試與部署,加速開發流程並確保品質。
  • 混沌工程 (Chaos Engineering) :為了提升系統韌性,導入 Chaos Mesh 等混沌工程工具,透過模擬生產環境中的潛在故障,主動發現並修復系統弱點。
  • 資安與合規 (Security & Compliance)
    • 利用 Keycloak 進行身份與存取管理,確保系統的安全性
    • 透過 Syft 生成軟體物料清單(SBOM),實現對軟體組件的全面可視化
    • 運用 Sigstore 進行軟體供應鏈簽署,確保軟體的完整性與來源可信度

這些開源工具的導入,使得國泰金控的開發流程從單純的 DevOps 邁向了更注重安全的全方位 DevSecOps。我們將安全措施整合到開發流程的每一個階段,從程式碼撰寫到部署,全面自動化安全檢測,大幅提升了軟體開發的效率與安全性,有效應對各種潛在風險。這種廣泛且深入的開源技術應用,使得國泰的技術棧更具彈性、可擴展性與成本效益。

行動呼籲:COSCUP 2025 與你相見!

在 COSCUP 2025 現場,我們將於「Open Source Policy」軌發表:

《透明、安全與合規:國泰中台微服務供應鏈安全治理的 SBOM、CBOM 與 AIBOM 新思維》

📍歡迎來攤位找我們聊聊,也別忘了追蹤我們,掌握最新 FinTech 金融開源動態:

👉🏻 加入國泰金控 LinkedIn
📝 開源小組 Medium:實踐與技術洞察
📣 開源小組 Facebook:活動與社群互動

國泰,擁抱開源

讓金融更透明,讓創新不再遙遠。
與我們一起推動金融開源,走得更深、更遠!

#Cathay #OpenSource #FinTech #COSCUP2025

Labels:

留言

張貼留言

這個網誌中的熱門文章

你的程式碼,你的硬體,你的 AI。掌握你的晶片未來。Your code, your hardware, your AI. Own your silicon future.

在 Tenstorrent,我們從晶片設計的最底層開始打造一切。我們不只採用 RISC-V,更將我們的擴充指令集規格全數公開。指令集架構 (ISA) 與硬體架構也完全開源。整個軟體堆疊,從韌體 (firmware)、運算核心 (compute kernels) 到編譯器,全都放在 GitHub 上,並採用你真正能用的授權條款 (Apache 2.0 / GPL)。我們的下一代晶片 Blackhole,旨在掃除傳統設計的低效率,讓你直接掌控資料流 (dataflow),實現更高的速度與電源效率。 Blackhole p150 (單晶片,次世代架構): 32G 記憶體,512GB/s 頻寬 387 TFLOPS (BFP8) / 774 TFLOPS (FP8) 大規模可程式化 RISC-V 核心陣列 算子函式庫、編譯器,整個軟體堆疊 — 全部開源 (OSS) 以原生 CCL 達成真正的多卡擴充,拒絕使用 PCIe workaround $1399 Wormhole n300 (雙晶片,經市場驗證的成熟架構): 24G 記憶體,576GB/s 頻寬 262 TFLOPS (BFP8) / 466 TFLOPS (FP8) 大規模可程式化 RISC-V 核心陣列 算子函式庫、編譯器,整個軟體堆疊 — 全部開源 (OSS) 以原生 CCL 達成真正的多卡擴充,拒絕使用 PCIe 土炮 $1499 現已上市。 立即在官網購買運算卡,或在我們的雲端平台上體驗。 如果你受夠了嚴苛的 EULA (使用者授權合約) 或處處受限的記憶體;又或者,你一直想親自動手,深入探索驅動你類神經網路的 C++ 程式碼;甚至想挑戰組合語言,親眼見證它...
張貼留言
Read more »

COSCUP 2025 Call for Proposals / 徵稿辦法

COSCUP 常規徵稿已於 2025-05-10 截止,接下來進入加碼徵稿階段。加碼徵稿是為了提升大會的稿件品質,依據投稿狀況(數量、品質)部分徵稿主題可能提前喊停。最遲請於 05 月 24 日(AoE) 前投稿,徵稿主題可參考下方列表。 The regular call for proposals (CFP) for COSCUP closed on May 10, 2025. We are now entering the bonus CFP phase to improve the quality of submissions. Some topics may close earlier than expected, depending on the current status of submissions (in terms of quantity and quality). Please submit by May 24 (AoE) at the latest. You may refer to the topic list below for inspiration. 開始投稿 Submit Your Proposal 提案須知 Things you may need to know 演講形式:預設為現場30分鐘演講包含QA,若有其他需求可於提案系統註明,由各主題主辦單位決定如何安排。 Talk Format : The default format is a 30-minute on-site talk, including Q&A. If you have other requirements, please indicate them while submitting your proposal. The final arrangement will be decided independently by the organizers of each topic. 語言:COSCUP 受眾包含海內外與會者,大會不限制發表語言但鼓勵以英語發表。大會將公布雙語議程表,請提供中英文版議程介紹。 L...
張貼留言
Read more »

你所不知道的 foodpanda

  2020 左右,隨著新冠疫情流行,台灣也逐漸流行起一股懶人旋風。懶懶躺在沙發上,動動手指滑滑螢幕,生鮮或美食就能快速又安全地由可愛的粉紅色熊貓外送員送達您門口。多數人知道 foodpanda 是台灣最大生鮮美食外送平台,也不少人知道 foodpanda 在台灣不斷擴張業務範圍,但 foodpanda 也有許多台灣科技圈所不知道的事。 例如,foodpanda 其實並非台灣本土廠商,也非只專注在亞洲區域。foodpanda 隸屬於德國 Delivery Hero 集團,業務橫跨歐洲、亞洲、美洲及北非,旗下更有十多個生鮮美食外送品牌。除此之外,foodpanda 於 2021 年時也在台灣正式成立全球第三個 Tech Hub。做為四大產品 RD 研發中心之一,台灣與德國柏林、新加坡及土耳其伊斯坦堡的人才緊密地合作,專注於打造 end-to-end 的顧客體驗。諸如月費方案 Panda Pro、外帶自取、餐廳內用 (目前仍未在台灣上市) 等功能。期待能持續吸收優秀人才、與其它三個跨國研發中心合作,打造後疫情時代新的成長引擎。 事實上,台灣的 foodpanda 研發團隊並不僅止於打造台灣本土產品。反之,我們所建立的平台及產品,已成功於近 20 個國家、10 個品牌上市。要在快速的步調下,打造持續進步且符合不同國家文化客戶需求的產品,我們依靠的是 專案團隊成員一條龍組合 從 Product Manager、Engineering Manager、iOS/Android/Web/Backend developer、QA、Product Designer、Product Analyst 全都在同一個 product line squad。讓相同產品的團隊成員能緊密合作、第一手快速了解市場、滿足需求。 國際專業團隊緊密合作 foodpanda 的 iOS/Android/Web/Backend 等專業工程師,都各自設有其跨 squad 的 chapter 組織。讓工程師能在專案團隊以外,有跨國跨團隊專業能力交流的機會。在 chapter 中,相同技術域領的專家們,會一起制定共同的實作標準、分享在專案中遇到類似的挑戰,並且找出可能的應對方案。因此,在 foodpanda 我們不只打產品專案團隊的速度戰、還打整個集團的整合能力團體戰,讓德國、新加坡、台灣、伊斯坦堡的工程師...
張貼留言
Read more »