Marina USA 正在寻找私人合作伙伴来研发其基于区块链的专有安全技术 PARANOID。
这是一种保护管理供应链的软件的解决方案,它利用区块链来确保软件开发环境的安全并验证完成的软件。
目前它还只是一个原型(TRL5),它由基于Hyperledger的区块链基础设施、服务器应用程序、Visual Studio和Visual Studio Code的插件以及离线软件验证应用程序组成。
根据几天前发布的新闻稿,海军正在寻求与私营企业合作开发这种软件,以实现软件开发的可追溯性和可证明性。
软件如今已成为军用飞机、车辆和武器系统不可或缺的一部分,因此需要一个解决方案来确保软件供应链的安全。为此,Paranoid 应运而生。
现在 Marina 的目标甚至是将这项创新商业化,尽管最初 Paranoid 的开发仅仅是为了支持安全发展,特别是海军航空企业 (NAE) 航空项目的航空电子软件的安全发展。
然而,该解决方案理论上适用于任何需要对软件开发进行完全可追溯性和一定可证明性的组织或公司,以防止在开发过程中可能发生的攻击。
私营企业可以通过美国国防部技术转让的国家合作伙伴 TechLink 使用 Paranoid,但海军还向私营开发商提供合作研究与开发协议 (CRADA),允许政府实体和私营公司之间的合作。
TechLink 高级技术经理 Nida Shaikh 表示:
“理想的 CRADA 合作伙伴是那些有兴趣开发解决方案来保护软件供应链的公司。这包括软件开发领域的公司,他们愿意安装和测试 PARANOID 以获得反馈和可扩展性。”
这项新技术是由NAWCAD(位于新泽西州莱克赫斯特的海军航空作战中心飞机分部)发明的。
要解决的问题是在软件开发过程的所有阶段验证安全性,从原始源代码的创建和修改到其编译,直到最终应用程序的创建并交付给最终用户。
事实上,从理论上讲,这些步骤中的每一步都包含着无数发动网络攻击的机会,无论是来自内部还是外部,例如秘密插入恶意代码或将一个文件与另一个文件交换。
PARANOID 方法通过区块链确保软件整个生命周期内的完整性来解决问题。
现有的原型运行在所谓的技术就绪水平 5(TRL5)上,与现有的开源开发环境(如 Visual Studio 和 Visual Studio Code)集成,并将开发人员的操作与区块链交易联系起来。
据 PARANOID 的发明者介绍,这种基于区块链的方法已被证明是一种可行的方法,可以支持关键任务软件开发系统完整性的全面可追溯性和强大的可证明性。
区块链的优点在于它是不可更改的账本,每个人都可以直接查阅,无需中介。任何区块的更改都会立即被检测到。
所有参与的计算机都持有该账本的副本,因此他们无需借助中介机构即可进行验证,并且所有交易都根据公共协议进行验证和更新。
借助 PARANOID,每个关键软件的开发都是区块链上的交易,因此任何不可预见的变化或其他网络攻击都会被立即检测到。
目的是有效防止未经授权的源代码修改,以及未经授权的替换或插入文件、对象、可执行文件和测试包。
公共且去中心化的区块链的第一个例子出现在 2009 年 1 月,当时中本聪 (Satoshi Nakamoto) 挖掘出了第一个比特币区块。
最初,该技术仅用于criptovalute领域,但后来人们意识到它的特性使其也非常适合其他类型的用途,例如NFT 。
具体来说,公共的、去中心化的区块链被证明是不可攻击和不可修改的,因为任何人都可以亲自验证所有交易是否正确。
然而,出于显而易见的原因,Paranoid 的案例中并没有使用公共区块链,而是使用了许可的 DLT(Hyperledger),尽管如此,它仍然起着非常相似的作用。
事实上,任何使用 Paranoid 管理的软件的人都可以直接访问软件交易链,因此他们可以直接验证所有交易是否正确,而无需中介。
可以想象,访问级别会有所不同,甚至在不同的开发团队之间也不会共享不同软件的数据,而且考虑到 Paranoid 已经在 TRL5 中使用,可以想象这项技术实际上效果很好。
应该记住,没有必要在区块链上注册代码本身,但只需注册代码的验证哈希值,这样就不可能以任何方式从哈希值追溯到代码,但可以绝对确定地使用它来验证它,从而允许人们直接验证所使用的软件是否与区块链上认证的软件完全对应,而无需中介。