国投证券如何引领金融行业的 API 治理创新？

为引导安全的 API 治理，中国信息通信研究院云计算开源产业联盟近期整理并发布了《API 治理应用案例汇编(2023)》。此次征集中，Eolink 参与共建的三大项目入选金融行业示范案例，是入选项目最多的企业，充分体现官方对 Eolink 在金融行业市场地位的权威认可。

本期，我们给大家带来的是 Eolink 与国投证券股份有限公司落地的 API 治理最佳实践案例分享。

国投证券股份有限公司（国投证券）原安信证券股份有限公司，成立于2006年8月，并先后于 2006 年 9 月、12 月以市场化方式收购了原广东证券、中国科技证券和中关村证券的证券类资产。公司股东为国家开发投资集团有限公司旗下的国投资本股份有限公司和上海毅胜投资有限公司分别持股。公司现为全牌照综合类券商，多项业务排名进入全国前列。

国投证券总部设于深圳，在北京、上海、广州、汕头、佛山等地设立 51 家分公司，在 29 个省级行政区设有 310 家证券营业部。公司全资控股安信国际金融控股有限公司、国投安信期货有限公司、安信乾宏投资有限公司、安信证券投资有限公司、安信证券资产管理有限公司、安信（深圳）商业服务有限公司，参股安信基金管理有限责任公司等。

国投证券秉承“为客户、为员工、为股东、为社会”的“四为”理念，以“金融服务成就美好生活”为使命，稳健经营，合规运作，不断提升专业能力，重视履行社会责任，力争成为倍受尊敬的一流资本市场服务商。

国投证券内部拥有超过 400 套系统，各个系统之间有大量的 API 对接，并且每个系统拥有的 API 也非常多，总 API 数量预计超过 3万个。

对于交易核心系统，存在复杂的业务场景管理、私有协议接口管理的需求，因此给内部的 API 治理工作带来了以下难题：

• API 管理工具不统一

在此之前，各系统的 API 资产都是单独管理的，采用的工具也较为混乱。大多数研发团队主要使用 Word、Excel 等文档进行 API 管理，缺乏全局的 API 管理手段，这导致 API 的维护成本高、共享难度大、接口信息准确率低且更新不够及时。

• API 开发协作效率低

API 的设计评审目前仍然依赖线下会议进行，沟通时间较长。API 的变动和上线发布通过邮件或线下会议方式通知，沟通效率较低。由于前后端开发进度不同步，缺乏统一的 Mock API 平台，无法提前进行对接联调，导致各团队的开发工作存在耦合，效率降低。

• API 治理体系不健全

由于 API 零散地管理在不同的工具中，甚至部分系统缺乏 API 文档，导致 IT 管理团队无法了解公司内 API 的数量、系统分布、对接和使用情况等信息，这不利于建立更高可观测性的 IT 体系。

• API 研发流程待完善

公司内部各团队在 API 设计、开发、对接等工作方面存在各自的工作习惯，未能对齐业内的一些最佳实践。这容易在产品迭代过程中引入技术债务，不利于后续的系统维护和对接工作。

综上原因，国投证券 PaaS 平台团队通过广泛的用户调研工作，并结合新一代核心柜台的需求，希望建设领先的 API 管理平台，实现 API 全生命周期管理，提高 API 设计、开发和协作效率，提升 API 的安全性与稳定性，并且在后续能够与国投证券 PaaS 平台打通，实现 API 的快捷发布和维护。其核心需求点包括：

• 支持金融系统接口协议

实现对恒生、中焯等金融行业常见系统的 API 协议接口的管理支持。

• 支持 API 版本管理

对单个 API 进行版本管理，包括版本变更记录，版本变更人，版本对比等。并且可以生成项目级别的版本，进行项目版本间的对比，输出变更记录等。

• 支持统一的 Mock API

平台能够自动通过 API 文档生成 Mock API，或者由国投证券的开发人员编写 API 数据生成规则，平台动态生成 API 的返回数据。用户通过访问 Mock API，在对应API未完成开发部署的时候，提前获得所需要的数据，完成对接工作。

• 支持批量 API 测试

通过建立由多个接口和控制器组成的测试计划，完成业务场景的批量测试，并生成测试报告信息。

• 支持 API 拓扑关系管理

展示 API 运行时依赖的上下游接口、应用、系统，并通过 API 拓扑数据对全局视图进行维护，保证全局视图的正确性与完整性。

• API 研发流程待完善

展示真实被调用的 API 列表，展示API运行时的平均吞吐量 CPM、平均响应时间 RT、平均可用性 SLA，展示调用频率高的热接口、响应时间长的慢接口。

• 按照业务场景展示 API

为了便于国投证券内部各系统对接，能够按照业务场景了解需要使用的 API 以及参数等，平台需要支持通过业务类型、交易行为、交易市场等业务属性的排列组合，定义不同的业务场景并清晰展示。

此次在国投证券自研的“平台化工程”云原生技术底座 PaaS 平台中，Eolink - Apikit 作为一级功能模块嵌入其中，并且充分利用了国投证券 PaaS 平台的领先技术能力，接入了链路追踪系统、运维监控系统、统一用户中心等。

同时基于分布式架构和容器化部署，为国投证券全公司 IT 团队提供 API 治理、API 对接、API 单元测试、API 拓扑管理管理、API 调用链路追踪等功能。

为了加速平台落地及保障实施效果，Eolink 团队为国投证券梳理当前内部 API 治理的情况，将 API 生命周期划分为设计，开发，对接，测试，发布，维护，下线等七个基本流程。

针对国投证券当前的 API 成熟度情况，将治理工作分为三个阶段进行，并提供针对性的落地方案。

其中，在设计 API 的阶段，平台将原本线下的 API 设计评审会议通过产品功能转变为线上进行：

国投证券团队的研发人员可以直接在线发表评审建议，平台会自动触发评论通知给对应的开发负责人上来完善 API 的设计。通过在线的方式减少线下会议的次数和时间，加速 API 设计评审的工作。

在开发、对接阶段，因为 API 资产统一托管在平台上，因此可以通过 API 文档快速生成Mock API，前端开发人员只需要通过 Mock API 就可以快速对接后端接口，将前后端开发工作解耦，提高工作效率。

在测试阶段，测试人员可以基于 API 文档快速创建单元测试用例，API 文档和测试用例之间自动形成绑定关系。当 API 发生变更的时候，平台可以将数据同步到测试用例，并且可以与 CI/CD 流程结合，实现单元测试用例的自动化回归测试工作，并且将测试报告推送给相应邮箱。

Eolink 提供更加适合金融企业的接口管理能力支持：

1. 平台支持恒生、中焯等金融行业常见系统的 API 协议接口管理，将内部散乱的各类协议的 API 接口统一管理在平台内，减少后续维护成本，并且方便内部分享 API 接口信息。

2. 平台支持对单个 API 进行版本管理，包括版本变更记录，版本变更人，版本对比等。并且可以生成项目级别的版本，进行项目版本间的对比，输出变更记录等。

3. 平台支持 API 拓扑关系管理展示 API 运行时依赖的上下游接口、应用、系统，并通过 API 拓扑数据对全局视图进行维护，保证全局视图的正确性与完整性。

平台支持展示真实被调用的 API 列表，展示 API 运行时的平均吞吐量 CPM、平均响应时间 RT、平均可用性 SLA，展示调用频率高的热接口、响应时间长的慢接口。

本项目自 2023年上线以来，目前已经成功接入国投证券 30多个业务系统，为其有效管理 9000+ API，项目试点落地首批用户超过 200人，后期将逐步推广覆盖开发团队全员使用。

Eolink 旗下 Apikit 接口治理平台与国投证券 PaaS 平台有机结合后，赋能现有的开发模式，并且提升国投证券 API 的全面治理能力：

• 进一步实现生态能力的整合： 集成到国投证券 PaaS 平台生态，通过统一门户为用户提供 API 治理能力，打通 PaaS 统一数据模型。

• 满足核心系统和关键协议需求： 满足国投证券交易核心系统与新一代柜面系统的 API 管理需求，全面覆盖交易核心系统私有协议，包括 FS2.0、UFX、MID、中焯等。

• 高效协同提升接口研发效能： 线上化管理 API，提供文档自动生成、文档版本管理、文档共享等功能，识别重点 API、无效 API，降低 API 维护成本。

• 实现 API 优先理念的有效践行： 推行 API First 研发流程，实现前端、后端和测试三方异步协作，降低沟通成本。

• 可视化让管理者掌握风险信息： 实现复杂依赖关系可视化管理，辅助识别系统瓶颈和潜在的问题，防范系统上线给关联系统带来的次生风险。

• 构建规范化体系提升 API 质量： 制定 API 规范，实现规范自动检测，提升 API 质量，改善团队协作，提升 API 安全性和稳定性。

• 规范化研发流程全面提升效能： 制定 API 设计、评审、开发和变更流程规范，推广应用，便于内外部、跨团队、跨产品的对接工作，提升公司研发效能。

• 量化效果持续提升 API 治理能力： 可制定 API 治理可量化的指标，通过平台自动化统计和分析 API 治理情况，并且搭配可落地的 CMMI 工作规范，让 API 治理效果逐步提升。

除了本期实现 API 管理集成到国投证券 PaaS 平台生态外，未来还会通过对接以下平台，实现平台工程整合：

1. 与 Jira 平台对接，实现需求、任务、缺陷与 API 的关联，支撑从需求到发布的闭环管理，降低沟通成本，提高协作效率。

2. 与 Gitlab、流水线对接，实现研发、部署与 API 文档的一站式、自动化过程管理，降低维护成本。

3. 与测试管理平台对接，将开发人员调试、自测用例同步至测试平台，解决开发与测试分离的现状，提升测试效率与质量。

4. 与 API 网关对接，实现API的安全防护与流量治理，保障 API 的安全性和稳定性。

通过深化开发生态、优化接口研发流程，Eolink 与国投证券共同打造了更加高效与安全的系统研发基础设施，研发团队在 API 治理方面实现了显著的提升，这不仅为国投证券在金融领域的创新奠定了坚实基础，同时也为我国金融证券企业的 API 研发管理提供了最佳参考。