CapitalOne - 千亿资产银行如何进行唯一可信源的建设?(金融企业必看)

1. 背景

     Capital one创立于1988年,最早是弗吉尼亚州Signet银行的信用卡部门;1994年,Signet将信用卡部门独立出来并在纽交所上市,于1995年更名为Capital One。自上市以来,Capital One的股价一路走高,成长为美国第五大零售银行和第八大银行。

     在Capital One发展史上,其多次通过并购拓展业务,并延伸到了英国和加拿大。尤为令人瞩目的是,2008年金融危机之后,Capital One接连吃下了ING集团美国直销银行业务和汇丰银行美国信用卡业务。

     在零售银行和互金界,Capital One几乎无人不知,前些年更是神一般的存在。来自Capital One的海归精英炙手可热,他们创办或者在很多互金平台担任要职。

     如今,Capital One总资产接近4000亿美元,是美国主要的信用卡发卡行和汽车金融服务商之一。虽然 2014 年后,Capital One业绩开始下滑,但纵观其发展史,在竞争激烈、巨头林立的美国银行业,它所取得的成就堪称奇迹。这背后得益于Capital One很早就确立了数据驱动的战略,被视为大数据金融的先驱,也因此在金融科技兴起之后得以封神。


     在 JFrog SwampUp 2020用户大会上,来自 Capital One 的资深研发经理Wayne Chatelain分享了他们内部的建设唯一可信源的方法和收益。Wayne 在公司内部负责 SRE 相关的工作,提供公司级别的 Artifactory 服务,帮助公司内部其他团队构建应用。那么我们来看看他们为什么要建设唯一可信源。

2.  什么是唯一可信源?

     唯一可信源是企业内部所有通过审批批准的软件唯一存放的仓库。这些软件包括 war 包,jar 包,Docker 镜像,zip 包,以及第三方开源组件或者商业软件的授信版本。

为什么需要建立唯一可信源?

      很多银行仍然使用 FTP 进行 war 包,zip 等交付包的管理,这样会导致交付包缺失信息,版本管理的配置变更在哪,版本是否通过了代码扫描,漏洞扫描,自动化测试和测试团队的 Approve?这些信息的缺失会导致沟通成本急剧上升,造成人力和时间的大量浪费。随意获取有漏洞的依赖库,或者使用违反公司 License策略的依赖包,也会给公司带来直接损失。如果没有唯一可信源,各个团队,特别是分布在多个地区的开发团队将花费大量的时间在配置变更,版本传递和部署上。

3.  如何建设唯一可信源?

3.1 首先,定义实施唯一可信源的目标:

⭐创建唯一可信源仓库。

⭐确保产品全部使用唯一可信源仓库里的制品。

⭐定制制品审批规则和准入门槛。

⭐在 CI/CD 流水线中自动化

⭐微信可信源的可维护性。


3.2 创建唯一可信源仓库


3.3创建仓库模型:Capital One 基于 JFrog 的最佳实践进行仓库的命名:

⭐用虚拟仓库把所有 local 和 remote 仓库聚合

⭐根据包的类型,按团队进行划分

⭐根据开发,测试,生产环境实行制品晋级制度,区分生产和非生产的包

⭐第三方组件通过隔离仓库晋级到唯一可信源仓库


总体发布流程:

1.   开发则通过流水线进行构建

2.    流水线集成各自扫描,自动化测试并验证结果,记录为制品的元数据

3.    通过 JFrog Distribution 服务分发到各个数据中心的 Artifactory Edge节点,在准生产环境中进行自动化验证。

4.   验证通过之后制品晋级到生产仓库,进行生产环境的自动化部署。


制品晋级的流程:

1. 开源组件漏洞扫描(JFrog Xray)

2. License 扫描(JFrog Xray)

3. 静态代码扫描

4. 动态应用安全扫描

5.黑名单扫描

6. Metadata 属性验证(Artifactory 元数据验证)

     a)   开发,QA,测试元完成验证

     b)   技术 Lead/产品负责人审批通过验证

7. 制品签名验证

8. 企业报表验证

9.制品的所属人验证

10.合规性例外验证

这里 Artifactory 的元数据验证能够作为质量门禁,控制软件包的质量,值得大家参考。


制品的分发流程:

1. 流水线中触发制品的分发

      a)    完成制品的构建

      b)     推送到Artifactory

      c)      触发审批接口

                i.   制品验证阶段

                ii.   编排分发的工作流

  2. 异步状态轮询

         a)     流水线暂停直到审批结果都通过

         b)     检查证书签发状态

                i.   确认签名证书完成

                ii.  验证制品分发到了所有 Edge 节点

    3. 流水线从 Edge 节点拉取制品

          a)     流水线仅仅拉取Edge 里被审批过的制品

                 i.   审批能够被部署到生产环境的制品

                 ii.   Artifactory Edge 只存放被审批通过的制品 


最终结果:


     通过制品的晋级,分发,审批流程,测试 Artifactory Edge 节点里存放的制品库可以认为是企业的唯一可信源。

⭐开源组件和自己构建的组件基于审批和准入机制入库

⭐通过接口调用实现自动化的审查和审批

⭐自动化的分发包到 Edge 节点,实现多机房部署

⭐和 CI/CD 流水线进行集成和分发

⭐未审批的包无法推送到 Edge 节点,无法被部署的生产,避免部署错误。


唯一可信源的工作流:

⭐将所有制品存储在唯一的 Artifactory仓库

⭐触发发布动作

⭐验证制品元数据记录

⭐分发制品

⭐发布制品到唯一可信源

⭐当在 Artifactory Edge 节点的老版本失效时,通过Artifactory 同步删除的通过,在主节点删除某个老版本,将能够自动同步删除 Edge 节点上的老版本。


4. 收益

在银行内部通过唯一可信源的建设,可以实现以下收益:

⭐所有业务团队有唯一可信的依赖库和二方库

⭐所有业务团队有唯一可信的发布版本库

⭐所有审批的过程数据都汇总成为元数据绑定到发布版本上

⭐部署工具有唯一可信的部署来源,基于元数据校验进行自动化部署


参考:

https://baijiahao.baidu.com/s?id=1670085533834899304&wfr=spider&for=pc

https://www.youtube.com/watch?v=me3kwaQI4Gk&feature=emb_logo

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,816评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,729评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,300评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,780评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,890评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,084评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,151评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,912评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,355评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,666评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,809评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,504评论 4 334
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,150评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,121评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,628评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,724评论 2 351