從蘇州銀行的 API 治理，看銀行數字化轉型的合規性探索

為引導安全的 API 治理，中國資訊通訊研究院雲端計算開源產業聯盟近期整理併發布了《API 治理應用案例彙編(2023)》。 此次徵集中， Eolink 參與共建的三大專案入選金融行業示範案 例 ， 是入選專案最多的企業 ，充分體現 官方對 Eolink 在金融行業市場地位的權威認可。

本期，我們給大家帶來的是 Eolink 與 蘇州銀行股份有限公司 落地 的 API 治理實踐案例分享。

蘇州銀行股份有限公司（蘇州銀行）成立於 2010 年，是一家總部設在蘇州的上市城商行。成立以來秉持“以民唯美，向實而行”的發展理念，專注服務實體經濟和市民，推動區域經濟社會發展。

蘇州銀行現有 12 家分行、172 個網點，發起設立 4 家村鎮銀行，入股 2 家農商行；設立蘇州金融租賃公司，獲批籌建蘇新基金公司，境外開設新加坡代表處。英國《The Banker》雜 志全球 1000 強銀行排名第 265 位。

蘇州銀行建立公司銀行、零售銀行、金融市場和數字銀行四大專業化經營事業總部，基於綜合金融服務的集團一體化經營能力，以人為本幹事創業隊伍建設能力，持續在普惠金融、科創金融、綠色金融、民生金融等領域精耕細作，更好地服務經濟社會發展。

蘇州銀行秉承“工匠精神”，凝聚專注、鑄就專業，敢於創新，以可持續發展為目標，打造最值得信賴銀行，為中國式現代化貢獻蘇州銀行新實踐！

隨著資訊科技和網際網路的迅猛發展，開放性和介面概念已深入人心。為了跟上時代的步伐，蘇州銀行內部正加快 API 管理和治理規範體系的建設。

蘇州銀行對 API 管理的探討在某種程度上起源於對 ESB 介面治理的探索。ESB 介面架構主要以系統間通訊和協議轉換為導向。鑑於行記憶體在各類系統，涵蓋介面與原始碼基線梳理、ESB 介面平臺化流程、EDAS 分散式微服務治理以及建設安全高效的系統間訪問以及解決第三方系統對接等方面，蘇州銀行研發管理團隊迫切需要一個統一而高效的協作平臺以解決當前所面臨的問題。

⚠️  介面管理缺乏統一的平臺統籌

企業內部缺乏統一的介面定義管理平臺，每個系統團隊都有按自己習慣使用不同管理工具，導致介面文件分散在各個系統中儲存 。

平臺的不一致性增加維護和協作困難，而且關聯的系統無法及時瞭解介面的變更以及變更後的版本差異，及變更後的版本差異；開發人員通常在開發的最後階段才完善文件，導致前後端對接時需要反覆溝通確認，增加了管理成本和溝通成本。

⚠️  系統壁壘林立，團隊協作效率低下

各系統在開發和測試介面時採用不同的協議或工具，導致開發與測試之間形成了資訊孤島；介面的變動和上線釋出透過郵件或線下會議通知，零散的溝通方式無法實現工具之間的資料共享和互動，從而降低了溝通效率.

在介面除錯過程中，由於無法參考歷史除錯記錄或資料，開發難以進行有根據的除錯；前後端開發進度不同步，缺乏統一的 Mock 平臺，導致聯調和聯測無法迅速進行。

⚠️  介面自動化測試效率有待提升

缺乏標準化和統一的介面文件作為參考，測試人員難以獲得標準化和及時更新的介面文件，缺乏介面樣例 Demo，導致測試人員編寫案例的效率受到限制；當介面定義發生變更時，測試人員無法及時瞭解變更的具體內容，也難以有效評估變更是否影響現有的自動化案例。

目前存在的介面自動化測試工具不夠統一，開源或自研的工具各自適應不同的場景，存在弱項或功能缺失的情況。

⚠️  缺乏規範的治理體系

研發團隊缺乏一個統一的介面治理流程和接入規範，導致無法透過流程和管理工具有效監控介面規範的實施情況。

同時，與 DevOps 系統以及其他研發系統（如測試資料平臺、缺陷管理系統）之間缺乏資料打通。

基於此，蘇州銀行決定引入 Eolink 對 API 介面實行全面的規範化管理。對 API 資產進行清晰瞭解和有效管理，並進一步提升介面研發的效率，為銀行的智慧金融競爭力夯實基礎。

Eolink (深圳市銀雲技術有限公司)作為技術提供方為蘇州銀行打造了 API 數字化治理平臺，透過構建一站式的 API 治理協作體系，統一管理行內各類系統，包括介面與原始碼基線梳理，同時梳理 ESB 介面平臺化流程、EDAS 分散式微服務治理，以及滿足《 商業銀行應用程式介面安全管理規範》的標準規範。

蘇州銀行 API 數字化治理平臺實現了安全高效、系統間直連線口關聯、對接第三方介面的標準化等功能，使得任何互相關聯的系統都能在平臺規則內使用。實現所有系統的開發、測試都能在一個統一平臺上協作，進行關聯開發與測試，提高介面資訊互聯效率。

1. 建立統一的 API 資產管理平臺，作為權威介面資訊釋出平臺，統一API管理、研發、測試和介面治理、釋出流程。

統一管理通用的 HTTP / Websocket / Sockt / HSF / SOAP 以及 ESB 介面和微服務介面；統一管理介面文件、測試用例、Mock 等研發過程資產。

2. 將人行和行內相關的介面規範融合產品中。 制定了結合《 蘇州銀行介面管理規範指南》，該規範包括開發規範、過程的規範、API 設計規範、測試規範、安全規範等部分。

同時也融合考慮了人行的《 商業銀行應用程式介面安全管理規範》的介面安全設計、變更控制要求，並將規範內容體現在 API 模板中，透過文件模板實現介面規範化設計。

3. API 數字化治理平臺圍繞 API 文件，進行開發 API 管理、API 研發變更、API 除錯Mock、介面自動化測試統一關聯平臺。

基於 API 文件，開發對介面文件繼承進行介面除錯；測試對繼承開發案例進行自動化測試；第三方基於文件進行 Mock 除錯及研發。

4. 平臺與行內相關研發和運維管理系統進行打通，實現 API 研發、測試、治理和運維一體化管理；實現與 Devops 系統打通，實現介面的自動化釋出和測試；實現與測試資料管理平臺、缺陷管理平臺打通，實現 API 介面研發一體化管理。

蘇州銀行 API 數字化治理平臺基於 Eolink 行業首創的 DTDD（文件與測試驅動開發）先進理念設計，實現了 API 的統一規範管理，透過用標準文件代替口頭約定和筆記文件，讓開發、測試、運維、協作有跡可循。

同時，結合快速用測試結果推動開發進度，讓團隊溝通更充分、管理有事實依據，實現敏捷開發。幫助企業管理 API 研發、測試、對接以及進行無人值守的自動化測試等工作，能夠有效提高 API 管理規範程度、研發效率、測試效率，以及完善 DevOps 研發流程。

Eolink 助力蘇州銀行踐行 API 資產化建設，構建 API 數字化管理體系：

1. API 資產統一數字化管理。 API數字化管理完成蘇州銀行API資產的全面梳理，平臺已管控介面資產 8000 餘個，覆蓋行內 170 多個系統蘇州銀行。

2. API 全生命週期統一線上化管理。 平臺的場景覆蓋了 API 的設計、開放、對接、測試、釋出、異常、維護、廢棄下線的完整生命週期管理功能。對接了行內 ESB、EDAS、核心系統、開放平臺等系統，提升了平臺對接服務能力，支撐不同的行內外系統、供應商之間擁有不同的介面設計、開發、測試、對接等方式。

Eolink 與蘇州銀行專案組將所有行內、行外第三方介面資產都作統一全面梳理、拉平介面定義和系統原始碼之間的基線差異、補充介面正反樣例報文、規範介面說明定義等規範操作，透過規範化介面過程，補充介面樣例報文 10000 多個，下線廢棄 400 多個介面。

3. API 層標準化敏捷研發能力。 構建了系統間消費訂閱關係關聯，介面變更導致關聯絡統影響面分析一目瞭然；支援線上介面版本對照變更差異能力，以版本維度的變更直接通知介面消費方；支援介面程式碼進行線上開發、除錯及自動化測試。

4. API 的平臺化管理最佳化了介面研發流程 ，先確定介面定義再開發，使得文件不再滯後於開發。設計、開發、除錯線上化自服務，系統間除錯無需面對面溝通也可配合默契。

圍繞 API 基線可以擴充便介面自動化測試功能，目前平臺擁有介面除錯及自動化案例 10000 餘個，並按版本週期維度，持續迭代。顯著節省測試和介面釋出的時間和成本，降低了專案上線的風險。

5. 統一 API 治理規範和接入流程。 建立統一的 ESB 和 SSF 介面治理流程，統一對接 ESB 平臺和智慧微服務平臺，實現介面的統一治理和管理。

蘇州銀行研發團隊表示，Eolink 對比市面上其他的平臺產品最大的優勢是能力強大，場景覆蓋更加全面，幫助蘇州銀行真正落實 API 的全生命週期治理模式，助力提升研發測試一體化效能提升。

經過三期的專案實施後，蘇州銀行的 API 治理能力顯著提升，根據 Eolink API 治理成熟度模型其治理能力已經達到了 LV3 級成熟度，平臺為蘇州銀行在 API 管理方面的持續發展奠定了堅實的基礎。

透過 Eolink 的全方位支援，蘇州銀行成功地踐行了 API 資產化建設，構建了高效的 API 數字化管理體系，為銀行未來的數字化持續發展打好根基。