本⼟銀⾏數位轉型的重要突破 導⼊ DevSecOps 全⾯提升開發效率與安全性
隨著數位化的浪潮持續席捲全球,銀⾏也因應思考如何在快速變動的金融市場中保持競爭⼒。金融產業掌握許多關鍵個人資訊與財務資訊,相較於其他產業,軟體及資料的安全性一直都被視為最重要的議題之一,相關的資通安全法規也較其他產業嚴格,傳統軟體開發流程的效率和安全性已漸漸難以滿足現今的需求,因此軟體開發流程的改善與工具的協助成為了金融產業皆需積極面對的。
DevSecOps 作為一種方法論,旨在開發及維運的同時能兼顧資訊安全的精神,在導入 DevSecOps 的同時,不僅要考量金融產業的特性,同時也必須滿足既有的法規及內部程序,成為導入過程重要的議題。
挑戰現狀: 打破傳統軟體開發流程的困境
金融產業一直是被法規高度要求的單位,大部分銀行都已制定相關規範及流程,也使用具備簽核功能與版控機制的工具來進行正式的上版作業,但在既有的合規程序與開發效率之間,一直存在著衝突。本篇探討的銀行為一間本土銀行,固守傳統的軟體開發流程,在內部近 100 個資訊系統的版本更新與控管花費許多人力及時間,該銀行在導⼊ DevSecOps 流程之前⾯臨的幾個明顯的挑戰:
未完整落實測試區版控機制
在軟體開發過程中,版本控制機制未能充分落實,導致開發團隊經常在版本管理上遇到混亂,特別是在多人協作開發專案時,可能會有不同人員使⽤不同版本的現象,導致系統不穩定的⾵險增加。
測試程序不⼀致
開發與測試環境缺乏統⼀的標準。每個團隊採⽤不同的⼯具和流程,沒有明確的標準來衡量是否合規,使得整個開發流程變得混亂,缺乏透明度,難以掌握什麼才是符合合規的最佳實踐。
銜接正式區版控準備作業繁瑣
為了符合正式區版控程序的要求,從測試環境切換到正式區的過程相當繁瑣,需要⼤量的⼿動操作,不僅費時,還容易出現⼈為錯誤,使得整個上線流程效率低落。
單一介面整合各角色及各工具環境工作。
突破之道: DevSecOps 平台的導⼊
為了解決上述問題,該銀⾏決定導入 DevSecOps,並選用叡揚資訊 AVC 應用程式弱點整合平台作為 DevSecOps 平台,建⽴軟體開發持續整合與持續交付 (Continuous Integration / Continuous Delivery,CI/CD) 之⾃動化流程,將開發過程中之版本控管、編譯部署、安全性檢測、單元測試等繁瑣且耗費開發人員時間及精⼒的⼯作,透過⾃動化流程循環持續交付,加速整體開發流程,縮短上線時間,快速回應業務單位需求。
平台完整機制同時滿足自動化與合規性。
除此之外,透過導入 AVC,進⼀步將開發和測試環境的操作流程標準化,減少了各系統環境差異帶來的問題。有效消除各⾃為政的混亂狀況,更建⽴清晰的合規標準和評估依據。團隊可以藉由 AVC 的標準操作程序,確保每⼀個開發和測試步驟都符合⾏內的合規要求。在該銀行導入過程發揮了具體的效果:
導入期短、推動快
利用不到 2 個月的時間完成先導系統導入,藉著 AVC 共⽤範本、權限控管、簽核設定等產品化機制,加上顧問團隊豐 富的經驗,先導系統在需求訪談後僅用了約 2 個⽉的時間完成了流程設定、腳本撰寫等相關⼯作,並成功上線。
上線後導入範圍迅速擴散,使⽤者易上手
先導系統上線後 3 個⽉內,顧問團隊陸續協助導⼊ 4 個系統,銀⾏內部也自⾏導⼊了 10 個系統。導⼊後不到半年的時間,測試區上版作業次數已累積近 300 次。
作業時間⼤幅縮短
以海外分⾏系統為例,在導入 AVC 前平均每個系統每⽉進⾏約 10 次的測試環境上版作業,平均每次需花費超過 1.5 ⼩時的作業時間,每個月就需花費超過15 小時進行上版作業。導⼊ AVC 後,作業時間縮短⾄每次 25 分鐘內,效率提升⾼達 76%,節省了⼤量⼈力和時間成本。
簡單易上手的操作方式,加速平台推動及推廣。
從挑戰到成功
DevSecOps 不僅是技術議題,更與組織文化、既有環境及作業方式息息相關,因此所選用的工具以及導入團隊也都是影響導入成功的關鍵因素。
叡揚資訊透過經市場驗證的成熟產品,搭配具備在大型金融業客戶及政府單位成功導入經驗的專業團隊。由於導⼊效果顯著,該銀⾏決定持續擴大應⽤範圍,未來規劃整合 Jira 專案管理工具強化敏捷開發流程,並加⼊ UFT ⾃動化測試⼯具,且計畫透過 AVC 將 DevSecOps 推廣到全⾏系統,進⼀步鞏固數位競爭⼒。
AVC 應用程式弱點整合平台 為企業實現 DevSecOps 的最佳利器
DevSecOps 已成為現代軟體開發的基⽯,⽽ AVC 除了提供⼀般 DevOps 平台,對於 DevSecOps ⼯具鏈的整合能⼒外,也具備因應企業管理需求的產品化機制,更具備加速推動及推廣所需的友善操作介⾯,是企業實現 DevSecOps 導⼊的最佳利器。
叡揚資訊專業的顧問團隊也藉由在⼤型單位協助導⼊落實 DevSecOps 的經驗,成為企業在導⼊過程中值得信賴的夥伴。