面对复杂支付业务场景，支付宝是如何进行风险治理的｜QCon

金融行业的数字化转型如火如荼，以人工智能、大数据为代表的技术正在对这个行业起着革命性的深远影响。

日前，人民银行在 2022 年重点任务部署会上提出，要深入推动新一代金融信息基础设施建设，高质量推进金融数字化转型。会议鼓励建立健全金融科技风险库、漏洞库和案例库以及金融数字化转型优秀实践案例库，引导金融科技跨越数字鸿沟，普惠大众，更着重强调了金融科技的监管与风险治理工作。

为积极响应“建立健全金融科技伦理监管框架和制度规范”的号召，从业机构应明确落实自身的伦理治理主体责任。因为金融科技在发展的同时也面临诸多挑战，包括网络安全风险、应用代码安全风险、供应链软件安全风险在内的科技风险治理就是一个需要重点攻关的课题。

我们了解到，对于大多数金融企业而言，金融科技风险的识别和治理是非常依赖人员投入的，但受限于 IT 人力成本的高昂，各个金融公司里面的科技治理风险专家人员并不多。

一边是急需提升的风险治理覆盖度，一边是紧张的人力，怎么办？如果能把专家的能力变成平台能力，把手工活儿变成平台交付，那问题是不是就能迎刃而解？

为解决类似的问题，大多数金融科技企业都已根据自身情况初步建立了软件安全研发生命周期流程体系（SDL/DevSecOps），以期通过研发过程中识别和消除大部分安全风险。如何全方位、系统化的高效识别研发流程中的各类安全风险，提升安全研发管控流程的数字化水平，整个行业都在探索技术方案上的创新和突破。

以国民级支付产品支付宝为例，此类复杂支付业务场景往往具有较长的逻辑链路，传统安全工具难以进行自动化理解和风险全面扫描识别。安全风险的发现和处置非常倚赖研发工程师、安全工程师的意识、经验和人力投入，风险覆盖度无法系统性保障，安全生产效率也难以提升。

支付宝在落地 SDL 体系的过程中，也曾被以上问题长期困扰。最终他们引入了图计算等技术手段，升级构建了一套新的安全研发流程平台与工具体系，较好的解决了这个难题。

我们了解到，在新的工具体系中，支付宝使用动静态程序分析技术对单个应用进行了完整地业务抽象建模，设计了以业务场景风险数据为主体的图数据库，构建代码调用链路图和数据流转链路图对业务逻辑进行准确刻画。在此基础上，他们将安全专家的经验和已有安全漏洞案例抽象为图数据库的风险查询规则，专家的经验转化为图数据库计算能力，实现了工程师与自动化工具的高效协同。

在实践与落地这套平台与工具体系之外，支付宝还以此为基础构建了核心安全风险指标体系，形成较为全面的安全风险图谱，全面提升了科技风险识别能力和处置水平。

在今年 11 月 25-26 日举办的 QCon 全球软件开发大会（上海站）「金融科技」专题，知名安全专家盛锦辰将把支付宝的宝贵经验分享出来。

他将分享的题目是《图计算在软件安全开发生命周期中的创新应用与实践》，以下是详细大纲，你可以参考。

演讲提纲

1. 安全 研发生 命周期体系的技术挑战和痛点

2. 破局： 构建图计算驱动的新一代安全研发工具体系

• 基于程序分析技术的业务抽象建模 构
• 建业务场景风险数据为主体的图数据库
• 构建高效、高精度跨应用时序链路的探索能力

3. 实战应用案例

• 基于可视化链路的场景识别与风险评估过程
• 基于数据流转链路的内容安全风险识别

4. 安全研发体系的未来

通过他的分享，你将了解到在复杂组织中落地软件安全研发流程体系的实践经验以及如何结合程序分析、图数据库技术实际解决安全风险评估痛点问题的实践经验。

「金融科技」专题还邀请到汇丰科技证券服务信息科技部中国区总监徐慧樱，如果你想了解核心既存系统转型的挑战、不同的核心系统改造并且上云的方法，以及如何赋能团队进行技术转型，那么这个演讲一定不能错过。PayPal 和国泰君安的资深专家带来的精彩内容也将上线官网，敬请期待。

除此之外，本次 QCon 上海站还策划了业务性能监控、以算法为核心的应用架构、API 治理、LakeHouse 落地、智能汽车、算法模型底层创新、产品设计的逻辑思考、走向元宇宙：交互技术与实时渲染、开发者工具与开发效率、前端职能化等专题。点击底部【阅读原文】直达大会官网查看上线日程。

与一线技术大咖面对面交流，你还差一张门票！大会门票 9 折特惠最后一天，现在下单立减 680 元，感兴趣的同学联系票务经理：+86 18514549229（同微信）。