协会地址:上海市长宁区古北路620号图书馆楼309-313室
国泰海通证券 —— 以开源软件治理平台为抓手,构建微服务应用全流程安全管控体系
“上海开源创新菁英奖” 的设立,旨在挖掘和表彰开源领域具有创新性和实践价值的成果,激励更多行业主体探索开源技术的应用与突破,推动开源生态的健康发展。
本次介绍的获奖案例来自国泰海通证券,该案例凭借以开源软件治理平台为核心,构建微服务应用全流程安全管控的创新实践,在开源技术与金融行业深度融合领域树立了典范。其不仅有效解决了证券行业在软件供应链安全和微服务应用方面的痛点,更对开源技术在金融领域的规范化应用和普及具有重要的引领作用。
背景
在软件产业快速发展的当下,软件供应链日益复杂,随之而来的安全问题使得信息系统安全防护难度骤增,软件安全性成为行业共性基础问题。对于证券期货业而言,交易、清算、账户等核心系统包含大量敏感数据,一旦发生泄漏或篡改,不仅影响行业正常运营,还会威胁客户利益乃至国家金融安全。此外,IT 行业广泛使用的微服务开源框架存在组件版本依赖复杂、底座间依赖包深度捆绑等问题,单一漏洞可能导致应用全面升级,严重制约了行业 IT 系统建设效率与安全水平,因此,构建安全可控的微服务落地应用成为国泰海通证券亟需解决的问题。
案例介绍
国泰海通证券以开源软件治理平台为抓手,整合多种开源技术栈,自研出具备一体化全流程安全管控的微服务应用。该案例主要包括建设融合多开源协议和开源技术的微服务平台,支持多种协议在同一进程内运行,实现多语言多协议互联互通;依托开源软件治理平台构建微服务的统一制品库,对开源组件实施全生命周期闭环管理;构建微服务平台的软件选型评估模型,从多个维度进行指标设计以量化评估开源软件质量;建立基于 DevSecOps 体系的端到端安全研发流程,在研发全环节进行安全管理;利用大模型技术对微服务平台的软件治理进行智能化探索,辅助各阶段的安全评估与风险处理等。通过这些举措,在保障证券业务稳定开展的同时,提供了高性能低时延的远程调用,支撑了千万级客户容量,助力公司数字化转型。
技术创新
1. 多协议融合与灵活扩展的微服务架构:微服务框架支持 gRPC、HTTP、Thrift 在同一进程内同时提供或消费服务,并可通过插件化方式扩展协议,RPC 协议覆盖多种开发语言,还能与 SpringCloud 在同注册中心下互联互通。同时,微服务应用脚手架基于非单一依赖设计原则,支持通用组件替换,在发生高超危漏洞时,可进行组件平滑替换,避免服务体系面临巨大安全风险。这种架构创新有效解决了证券行业中后台系统间交互通讯问题。
2. 全生命周期的开源软件治理机制:通过开源软件治理平台对微服务框架中的开源软件实施全生命周期闭环管理,在软件引入阶段建立标准化流程,使用阶段明确负责人运维管理机制,构建 “自动检测 – 持续跟踪 – 考核评估 – 整改发布 – 复测验收” 的循环治理机制,退出阶段对不满足条件的软件进行整改或下线。同时打造全局统一可靠的软件制品库和质量门禁,将开源技术风险检查贯穿软件开发全生命周期,保障了开源软件源端安全。
3. 量化可观测的软件选型评估模型:结合公司内部软件情况,设计从功能、性能、安全合规、服务支持、软件活力与评价等维度的软件质量评估模型,涉及 30 余项具体指标。结合软件成分分析、RPA 技术和软件 360 评价机制形成开源软件最终评分,并以雷达图直观展示,实现了开源软件质量评估的可量化、可观测、可持续。
4. 端到端的安全研发流程构建:基于 DevSecOps 体系,在需求设计阶段采用智能威胁建模、软件成分分析(SCA)等手段自动扫描要引用的开源软件;开发测试阶段使用 DAST、IAST 等检测手段结合流水线技术进行全方位测试,并设置质量门禁;上线运维阶段采用端口嗅探、路径分析等策略进行线上安全扫描,实现 0day 风险漏洞检测复测,保障了系统全流程的安全可靠。
5. 大模型赋能的智能化软件治理:利用公司大模型基础平台,结合自研及开源大模型,建设基础能力并构建软件治理智能体。在需求与设计阶段辅助安全评估和风险分析;开发与测试阶段支持智能代码生成、代码风险修复;运维阶段实现漏洞管理一体化流程,提高了软件供应链治理效率。
6. 低延迟的证券业务适配创新:微服务框架创新采用证券核心交易系统原生协议直连的方式,显著降低接入延迟,优化低延时交易体验,为财富管理、融资融券及机构交易等核心业务提供了有力支持。
结语
国泰海通证券的这一获奖案例,以开源软件治理平台为核心构建微服务应用全流程安全管控体系,其价值和意义重大。不仅有效增强了证券行业软件供应链的安全性,降低了安全运营成本,全面提升了微服务框架及应用的可信度和稳定性,保障了核心业务的稳健运行,助力公司数字化转型与业务赋能,加强了金融风险防范能力。
在开源技术普及方面,该案例为开源技术在金融等对安全性要求极高的领域的规范化应用提供了可借鉴的实践经验,推动了开源技术与行业业务的深度融合。期待未来此类开源技术在金融及更多领域能有更广泛的应用和更深入的创新。“上海开源创新菁英奖” 将继续支持开源创新,鼓励更多行业主体探索开源技术的应用,推动开源生态持续发展。
声明:
- 本栏目展示的信息、观点及数据等内容均由奖项报名人直接提供。
- 本栏目旨在为优秀的开源项目及其贡献者提供一个展示平台,旨在增进公众对开源生态的了解,促进行业内的知识分享与经验交流,所有信息均不构成任何投资建议。
- 您如对展示内容的准确性、真实性或其他方面存有异议或疑问,欢迎通过以下邮件地址与我们联系反馈:shopen_awards@shanghaiopen.org.cn
