技术风险都做些什么？

支付宝的线上系统极其复杂，每一笔交易背后是数亿行代码、成百上千个系统， 经过无数的链路，再加上海量线上实时交易，谁也无法预测下一秒是否会出现什么样 的问题。如何消除人们的焦虑呢？这时就轮到技术风险团队登场了。 技术风险工作就是使用技术手段，把各种软件、硬件、人为引入的可能出现业务 受损的的风险降到最低。在支付宝，它服务于从基础设施到上层应用的所有系统，从 写第一行代码到最终上线的整个研发流程。 目前，技术风险工作主要由 SRE 来承接，日常的工作包括变更风险防御、快速 应急、红蓝攻防、资金安全等，同时像双 11 大促，春节红包等高并发高性能的场景 是技术风险工作的大考。 SRE 是 Site Risk Engineering 的缩写，主要工作是围绕线上风险问题，研发 技术架构和解决方案，去解决各种各样的风险问题。 变更指的是代码上线到实际生产环境的过程，我们需要围绕变更建立各种技术手 段，减少变更导致的故障，研发变更相应的平台。据统计，80% 的系统生产故障都 来自于代码变更，因此无论怎么重视也不为过。支付宝建立了一系列制度保证系统内 的任何变更都符合可监控、可灰度、可回滚的“三板斧”要求。 而一旦线上真的出现了问题，就涉及到应急机制了。支付宝有一套完善的线上应 急流程，包括怎么快速定位问题，以及一个数据智能化的监控系统，可以迅速从线上 海量业务中找出风险异常点。一旦发现任何问题就发出告警通知相应的同学，进行相 应的流程进行解决。 平时没有故障的时候做什么呢？就是开头提到的红蓝攻防了。蓝军从第三方角度 发掘各类脆弱点，并通过红蓝军技术攻防演练，不断验证防御系统的可靠性。每年的 大演练时刻，都会进行全公司的动员，两边排兵布阵，攻守异常激烈。 在“期末考试”中，每支红军在被攻击后，花费多长时间发现故障，又用了多 长时间恢复等都会被视作评定指标，而结果会根据“无损”攻防体系相匹配的度量平 台，对攻防结果进行排名。 去年“期末考试”冠军得主是红一支付宝军，支付宝资深技术专家兼军长李铮提 到，去年 12 月 21 日的红蓝大军颁奖仪式上，第一名获得了一副金算盘，以及关公 铜像一年所有权，而今年还给最后一名准备了特别“奖品”——一副烂算盘，“真的 是很烂的算盘，也就淘宝上才能买到。” 除此之外，资金安全是专门保护支付宝里的资金的系统，在海量线上资金处理 时，要保证一分钱资金都不出问题，需要的是海量数据计算和风险挖掘能力。