开发者社区> 问答> 正文

技术风险都做些什么?

技术风险都做些什么?

展开
收起
Lee_tianbai 2020-12-30 19:29:32 649 0
1 条回答
写回答
取消 提交回答
  • 支付宝的线上系统极其复杂,每一笔交易背后是数亿行代码、成百上千个系统, 经过无数的链路,再加上海量线上实时交易,谁也无法预测下一秒是否会出现什么样 的问题。如何消除人们的焦虑呢?这时就轮到技术风险团队登场了。 技术风险工作就是使用技术手段,把各种软件、硬件、人为引入的可能出现业务 受损的的风险降到最低。在支付宝,它服务于从基础设施到上层应用的所有系统,从 写第一行代码到最终上线的整个研发流程。 目前,技术风险工作主要由 SRE 来承接,日常的工作包括变更风险防御、快速 应急、红蓝攻防、资金安全等,同时像双 11 大促,春节红包等高并发高性能的场景 是技术风险工作的大考。 SRE 是 Site Risk Engineering 的缩写,主要工作是围绕线上风险问题,研发 技术架构和解决方案,去解决各种各样的风险问题。 变更指的是代码上线到实际生产环境的过程,我们需要围绕变更建立各种技术手 段,减少变更导致的故障,研发变更相应的平台。据统计,80% 的系统生产故障都 来自于代码变更,因此无论怎么重视也不为过。支付宝建立了一系列制度保证系统内 的任何变更都符合可监控、可灰度、可回滚的“三板斧”要求。 而一旦线上真的出现了问题,就涉及到应急机制了。支付宝有一套完善的线上应 急流程,包括怎么快速定位问题,以及一个数据智能化的监控系统,可以迅速从线上 海量业务中找出风险异常点。一旦发现任何问题就发出告警通知相应的同学,进行相 应的流程进行解决。 平时没有故障的时候做什么呢?就是开头提到的红蓝攻防了。蓝军从第三方角度 发掘各类脆弱点,并通过红蓝军技术攻防演练,不断验证防御系统的可靠性。每年的 大演练时刻,都会进行全公司的动员,两边排兵布阵,攻守异常激烈。 在“期末考试”中,每支红军在被攻击后,花费多长时间发现故障,又用了多 长时间恢复等都会被视作评定指标,而结果会根据“无损”攻防体系相匹配的度量平 台,对攻防结果进行排名。 去年“期末考试”冠军得主是红一支付宝军,支付宝资深技术专家兼军长李铮提 到,去年 12 月 21 日的红蓝大军颁奖仪式上,第一名获得了一副金算盘,以及关公 铜像一年所有权,而今年还给最后一名准备了特别“奖品”——一副烂算盘,“真的 是很烂的算盘,也就淘宝上才能买到。” 除此之外,资金安全是专门保护支付宝里的资金的系统,在海量线上资金处理 时,要保证一分钱资金都不出问题,需要的是海量数据计算和风险挖掘能力。

    2020-12-31 18:00:51
    赞同 展开评论 打赏
问答地址:
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出——谈谈设计不当导致的安全问题 立即下载
千里之外,洞悉风险 立即下载
PHP安全开发:从白帽角度做安全 立即下载