1. 背景

Capital one创立于1988年,最早是弗吉尼亚州Signet银行的信用卡部门;1994年,Signet将信用卡部门独立出来并在纽交所上市,于1995年更名为Capital One。自上市以来,Capital One的股价一路走高,成长为美国第五大零售银行和第八大银行。

在Capital One发展史上,其多次通过并购拓展业务,并延伸到了英国和加拿大。尤为令人瞩目的是,2008年金融危机之后,Capital One接连吃下了ING集团美国直销银行业务和汇丰银行美国信用卡业务。

在零售银行和互金界,Capital One几乎无人不知,前些年更是神一般的存在。来自Capital One的海归精英炙手可热,他们创办或者在很多互金平台担任要职。

如今,Capital One总资产接近4000亿美元,是美国主要的信用卡发卡行和汽车金融服务商之一。虽然 2014 年后,Capital One业绩开始下滑,但纵观其发展史,在竞争激烈、巨头林立的美国银行业,它所取得的成就堪称奇迹。这背后得益于Capital One很早就确立了数据驱动的战略,被视为大数据金融的先驱,也因此在金融科技兴起之后得以封神。

在 JFrog SwampUp 2020用户大会上,来自 Capital One 的资深研发经理Wayne Chatelain分享了他们内部的建设唯一可信源的方法和收益。Wayne 在公司内部负责 SRE 相关的工作,提供公司级别的 Artifactory 服务,帮助公司内部其他团队构建应用。那么我们来看看他们为什么要建设唯一可信源。

2.什么是唯一可信源?

唯一可信源是企业内部所有通过审批批准的软件唯一存放的仓库。这些软件包括 war 包,jar 包,Docker 镜像,zip 包,以及第三方开源组件或者商业软件的授信版本。

为什么需要建立唯一可信源?

很多银行仍然使用 FTP 进行 war 包,zip 等交付包的管理,这样会导致交付包缺失信息,版本管理的配置变更在哪,版本是否通过了代码扫描,漏洞扫描,自动化测试和测试团队的 Approve?这些信息的缺失会导致沟通成本急剧上升,造成人力和时间的大量浪费。随意获取有漏洞的依赖库,或者使用违反公司 License策略的依赖包,也会给公司带来直接损失。如果没有唯一可信源,各个团队,特别是分布在多个地区的开发团队将花费大量的时间在配置变更,版本传递和部署上。

3.如何建设唯一可信源?

3.1 首先,定义实施唯一可信源的目标:

  • 创建唯一可信源仓库。
  • 确保产品全部使用唯一可信源仓库里的制品。
  • 定制制品审批规则和准入门槛。
  • 在 CI/CD 流水线中自动化
  • 唯一可信源的可维护性。

3.2 创建唯一可信源仓库

3.3创建仓库模型:Capital One 基于 JFrog 的最佳实践进行仓库的命名:

  • 用虚拟仓库把所有 local 和 remote 仓库聚合
  • 根据包的类型,按团队进行划分
  • 根据开发,测试,生产环境实行制品晋级制度,区分生产和非生产的包
  • 第三方组件通过隔离仓库晋级到唯一可信源仓库

总体发布流程:

  1. 开发则通过流水线进行构建
  2. 流水线集成各自扫描,自动化测试并验证结果,记录为制品的元数据
  3. 通过 JFrog Distribution 服务分发到各个数据中心的 Artifactory Edge节点,在准生产环境中进行自动化验证。
  4. 验证通过之后制品晋级到生产仓库,进行生产环境的自动化部署。

制品晋级的流程:

  1. 开源组件漏洞扫描(JFrog Xray)
  2. License 扫描(JFrog Xray)
  3. 静态代码扫描
  4. 动态应用安全扫描
  5. 黑名单扫描
  6. Metadata 属性验证(Artifactory 元数据验证)a.开发,QA,测试元完成验证  b.技术 Lead/产品负责人审批通过验证
  7. 制品签名验证
  8. 企业报表验证
  9. 制品的所属人验证
  10. 合规性例外验证

这里 Artifactory 的元数据验证能够作为质量门禁,控制软件包的质量,值得大家参考。

制品的分发流程:

  1. 流水线中触发制品的分发

    1. a.完成制品的构建
    2. b.推送到 Artifactory
    3. 触发审批接口
      1. 制品验证阶段
      2. 编排分发的工作流
  2. 异步状态轮询
    1. 流水线暂停直到审批结果都通过
    2. 检查证书签发状态
      1. 确认签名证书完成
      2. 验证制品分发到了所有 Edge 节点
  3. 流水线从 Edge 节点拉取制品
    1. 流水线仅仅拉取Edge 里被审批过的制品

      1. 审批能够被部署到生产环境的制品
      2. Artifactory Edge 只存放被审批通过的制品

最终结果:

通过制品的晋级,分发,审批流程,测试 Artifactory Edge 节点里存放的制品库可以认为是企业的唯一可信源。

  • 开源组件和自己构建的组件基于审批和准入机制入库
  • 通过接口调用实现自动化的审查和审批
  • 自动化的分发包到 Edge 节点,实现多机房部署
  • 和 CI/CD 流水线进行集成和分发
  • 未审批的包无法推送到 Edge 节点,无法被部署的生产,避免部署错误。

唯一可信源的工作流:

  • 将所有制品存储在唯一的 Artifactory仓库
  • 触发发布动作
  • 验证制品元数据记录
  • 分发制品
  • 发布制品到唯一可信源
  • 当在 Artifactory Edge 节点的老版本失效时,通过Artifactory 同步删除的通过,在主节点删除某个老版本,将能够自动同步删除 Edge 节点上的老版本。

4.收益

在银行内部通过唯一可信源的建设,可以实现以下收益:

  • 所有业务团队有唯一可信的依赖库和二方库
  • 所有业务团队有唯一可信的发布版本库
  • 所有审批的过程数据都汇总成为元数据绑定到发布版本上
  • 部署工具有唯一可信的部署来源,基于元数据校验进行自动化部署

参考:

https://baijiahao.baidu.com/s?id=1670085533834899304&wfr=spider&for=pc

https://www.youtube.com/watch?v=me3kwaQI4Gk&feature=emb_logo

CapitalOne - 千亿资产银行如何进行唯一可信源的建设?(金融企业必看)相关推荐

  1. 消息规模超千亿,同程艺龙的消息系统建设实践

    导读: 同程艺龙的机票.火车票.汽车票.酒店相关业务已经接入了RocketMQ,用于流量高峰时候的削峰,以减少后端的压力.同时,对常规的系统进行解耦,将一些同步处理改成异步处理,每天处理的数据达150 ...

  2. 快看!千亿蓝海一触即发,lazada越南致富风口逢卖必爆

    Lazada越南电商现阶段正处在萌芽期与飞跃发展环节,越南政府开设了新的电商发展计划--2025年网上购物人口数量要做到55%,年平均产品和服务项目消费达600美元.据TMO调查报告表明B2C电子商务 ...

  3. 千亿资产路劲掉队 单伟豹无心恋战地产圈?

    2019年12月9日夜,全联房地产商会年会第一天的活动即将全部结束,可是所有人都没有离开,他们还在等待"豹哥"单伟豹在晚宴中的表演. 那一夜,单伟豹唱了两首歌,一首周深的<大 ...

  4. 看不懂!苏宁控股“卖身”淘宝,“盲盒第一股”市值破千亿,超过苏宁易购

    2020真的发生太多大事了,哪怕就是最后一个月,陆续发生的事件也让人难以置信. 这两天又发生两件大事: 12月10日,苏宁控股集团三大股东将手中所有股权出质给淘宝: 12月11日,"盲盒第一 ...

  5. 大陆唯一7nm光刻机被抵押!武汉千亿投资、台积电大牛掌舵的芯片项目官宣停摆...

    杨净 金磊 发自 凹非寺 量子位 报道 | 公众号 QbitAI 投资超千亿.运行三年的芯片项目,被官方披露陷入「烂尾」危机. 连价值5.8亿元,大陆唯一一台7nm光刻机都被拿来作抵押. 在国产芯片备 ...

  6. 9成P2P平台面临出局,千亿资本何去何从?

    [阅读原文] 作者:楠沨 据研究院数据中心统计,截至2016年10月底,我国 P2P贷款余额已经攀升至7,470亿元左右,环比增长6.0%.进入10月份百强榜的平台,其贷款余额总计3,275亿元,占到 ...

  7. 互联网日报 | 7月8日 星期四 | 小鹏汽车港交所上市;同程生活宣布申请破产;紫光国微市值突破千亿元...

    ‍ ‍今日看点 ✦ 字节跳动再声明:公司暂不具备上市条件,目前无上市计划 ✦ 小鹏汽车正式登陆港交所,成港股"智能电动车第一股" ✦ 同程生活宣布申请破产:多方努力仍无法摆脱困境 ...

  8. 网络安全形势严峻:国内黑灰产业产值达千亿

    在刚刚过去的5月,电脑勒索病毒Wannacry"所向披靡",波及150多个国家和地区,攻陷30万台电脑. 在如今的网络安全攻防战场上,攻方的技术与理念日益精进,防方的状态大部分还停 ...

  9. 花旗银行放弃发币,6 千亿跨境支付“蛋糕”难啃

    假如 Citicoin 成功发行,改造支付清算领域,将是花旗银行弯道超车的一把利器. 文 |  昕楠.Dave 出品 |  Odaily星球日报(ID:o-daily) 花旗银行(股票代码:C)最终还 ...

最新文章

  1. Linux wait函数解析
  2. Linux开机详细流程
  3. 谷歌X实验室开源了一款像血糖仪一样的EEG识别系统
  4. LENOVO 充到60%就会停止充电
  5. 学好java再学c 可以吗_再论学好C的重要性!!!
  6. C#反射读取和设置类的属性
  7. 数据挖掘知识图谱(大数据分析师)
  8. 计算机三四级网络技术,全国计算机等级考试四级网络技术论述题真题(2-3)
  9. html5网上购物平台论文,网上购物系统毕业论文
  10. cdrx8如何批量导出jpg_Coreldraw/CDR X8 存低版本打开问题 – 数码打印破图 – Coreldraw/CDR软件崩溃 – 渐变导位图角度变了...
  11. WIN10命令提示符/黑窗口/cmd打不开怎么办
  12. mysql数据库学习(一)
  13. java 跳转url_URL跳转的几种方式
  14. 复盘:C语言中int a[][3]={1,2,3,4,5,6,7,8}什么意思,int a[3][]又是什么意思,结果为10的是
  15. 做网站必备!该文介绍下国内服务器与国外服务器的区别
  16. 数据结构之线性表----一文看懂顺序表、单链表、双链表、循环链表
  17. LPMS1000-全自动压力校验系统
  18. 推荐一款好用的固定资产管理系统
  19. 手雷Android版 去广告,狂飙2MB/s 手雷(Android版迅雷)使用体验
  20. 16bit灰度图像映射到8bit显示

热门文章

  1. solidworks学习记录(等距实体命令))
  2. linux 安装rz和lz
  3. SpringBoot配置文件yml敏感信息加密
  4. 2015 Top10 最成功的网页设计趋势(业界主流设计思想)
  5. Java操作磁盘文件
  6. websocket理论与实践--在线聊天室
  7. 马震宇 php,马震宇出品360问答系统项目实战 基于HDPHP
  8. 军工级、航天级代码长什么样?
  9. qt设置顶层窗口_QWidget设置窗口背景图片的几种方法
  10. 获取飞书的user_id