第419章 CR-2021-1247!(第2/2页)
t;
孙工拉了把椅子坐下来,自己操作了一会儿。
他从接口调用链往上追溯了两层,找到了AbySS在微光整体架构中的位置。
不是一个普通的第三方服务。
它嵌得很深。
跟微光自己的信用评估模块是紧耦合关系,数据通道是双向的,不仅AbySS向微光返回评分结果,微光的用户行为数据也在持续回流给AbySS。
微光的信用购产品、风控决策引擎、用户额度管理系统,底层都在调用这个接口。
如果把AbySS从架构里抽掉,微光整个信用评估体系的数据基础会塌掉一大块。
"这东西是微光自己的还是外部的?"
"接口命名规范是外部服务的格式,但耦合程度像内部的。"
"代码仓库里有AbySS的源码吗?"
刘工在文件目录里搜了一下,没有。
微光提交的代码包里不包含AbySS的源代码,只有调用接口的客户端SDK。
这进一步说明AbySS是一个独立的系统,不属于微光DCEP方案的交付范围,但微光的DCEP方案在运行时依赖它。
两个人对着屏幕看了五分钟,饮水机发出一声咕噜,气泡在水桶里翻了一下。
"记一笔?"孙工问。
"记一笔。"
刘工打开了审查报告的模板文件。
他们的工作不是判断这个接口有没有问题,是如实记录审查中发现的所有非标准项。
判断是上面的事。
上面会看报告,会开会,会决定要不要追问,要不要让微光补充说明。
他们不需要管那些。
他在模板里找到"非标准外部服务"栏目,新建了一条记录。
审查编号:CR-2021-1247。
审查日期:2021年12月15日。
审查对象:微光科技·DCEP技术方案·支付模块·第三层接口。
发现项:外部数据服务接口"AbySS-CreditSCOre-v3.2",未在央行技术标准白名单内,无供应商资质备案,调用频次高(日均12.7万次),与核心业务逻辑深度耦合,数据双向通道,源代码未包含在交付范围内。
风险等级:待评估。
备注栏他犹豫了一下。
光标在空白处闪了几秒。
打了一行字,删了,又打了一行。
"外部数据服务AbySS,待评估。"
最终就留了这一句,简洁的,中性的,不带任何判断倾向。
保存,关闭文件。
他端起桌上的保温杯喝了一口水,拧上盖子,放回桌角。
保温杯是他从家里带的,不锈钢的,杯身有一道磨痕。
孙工已经回到了自己的位置上,继续审工行的密钥管理。
隔板那边传来均匀的敲键盘声。
刘工推了推眼镜,继续往下审第48个接口。
…………
审查报告在周五下班前提交。
四家候选方的代码审查报告统一汇总,共计147页。
由审查组组长签字确认后封装成加密文件包,通过内部系统提交至数字货币研究所技术评审委员会。
加密文件包的时间戳是2021年12月17日17:42:31。
CR-2021-1247在第89页。
备注栏第三行:"外部数据服务AbySS,待评估。"
这行字存进了央行的档案系统。
没有人通知微光。