Marina USA 正在尋找私人合作伙伴來研發其基於區塊鏈的專有安全技術 PARANOID。
這是一種保護管理供應鏈的軟件的解決方案,它利用區塊鏈來確保軟件開發環境的安全並驗證完成的軟件。
目前它還只是一個原型(TRL5),它由基於Hyperledger的區塊鏈基礎設施、服務器應用程序、Visual Studio和Visual Studio Code的插件以及離線軟件驗證應用程序組成。
根據幾天前發佈的新聞稿,海軍正在尋求與私營企業合作開發這種軟件,以實現軟件開發的可追溯性和可證明性。
軟件如今已成爲軍用飛機、車輛和武器系統不可或缺的一部分,因此需要一個解決方案來確保軟件供應鏈的安全。爲此,Paranoid 應運而生。
現在 Marina 的目標甚至是將這項創新商業化,儘管最初 Paranoid 的開發僅僅是爲了支持安全發展,特別是海軍航空企業 (NAE) 航空項目的航空電子軟件的安全發展。
然而,該解決方案理論上適用於任何需要對軟件開發進行完全可追溯性和一定可證明性的組織或公司,以防止在開發過程中可能發生的攻擊。
私營企業可以通過美國國防部技術轉讓的國家合作伙伴 TechLink 使用 Paranoid,但海軍還向私營開發商提供合作研究與開發協議 (CRADA),允許政府實體和私營公司之間的合作。
TechLink 高級技術經理 Nida Shaikh 表示:
“理想的 CRADA 合作伙伴是那些有興趣開發解決方案來保護軟件供應鏈的公司。這包括軟件開發領域的公司,他們願意安裝和測試 PARANOID 以獲得反饋和可擴展性。”
這項新技術是由NAWCAD(位於新澤西州萊克赫斯特的海軍航空作戰中心飛機分部)發明的。
要解決的問題是在軟件開發過程的所有階段驗證安全性,從原始源代碼的創建和修改到其編譯,直到最終應用程序的創建並交付給最終用戶。
事實上,從理論上講,這些步驟中的每一步都包含着無數發動網絡攻擊的機會,無論是來自內部還是外部,例如祕密插入惡意代碼或將一個文件與另一個文件交換。
PARANOID 方法通過區塊鏈確保軟件整個生命週期內的完整性來解決問題。
現有的原型運行在所謂的技術就緒水平 5(TRL5)上,與現有的開源開發環境(如 Visual Studio 和 Visual Studio Code)集成,並將開發人員的操作與區塊鏈交易聯繫起來。
據 PARANOID 的發明者介紹,這種基於區塊鏈的方法已被證明是一種可行的方法,可以支持關鍵任務軟件開發系統完整性的全面可追溯性和強大的可證明性。
區塊鏈的優點在於它是不可更改的賬本,每個人都可以直接查閱,無需中介。任何區塊的更改都會立即被檢測到。
所有參與的計算機都持有該賬本的副本,因此他們無需藉助中介機構即可進行驗證,並且所有交易都根據公共協議進行驗證和更新。
藉助 PARANOID,每個關鍵軟件的開發都是區塊鏈上的交易,因此任何不可預見的變化或其他網絡攻擊都會被立即檢測到。
目的是有效防止未經授權的源代碼修改,以及未經授權的替換或插入文件、對象、可執行文件和測試包。
公共且去中心化的區塊鏈的第一個例子出現在 2009 年 1 月,當時中本聰 (Satoshi Nakamoto) 挖掘出了第一個比特幣區塊。
最初,該技術僅用於criptovalute領域,但後來人們意識到它的特性使其也非常適合其他類型的用途,例如NFT 。
具體來說,公共的、去中心化的區塊鏈被證明是不可攻擊和不可修改的,因爲任何人都可以親自驗證所有交易是否正確。
然而,出於顯而易見的原因,Paranoid 的案例中並沒有使用公共區塊鏈,而是使用了許可的 DLT(Hyperledger),儘管如此,它仍然起着非常相似的作用。
事實上,任何使用 Paranoid 管理的軟件的人都可以直接訪問軟件交易鏈,因此他們可以直接驗證所有交易是否正確,而無需中介。
可以想象,訪問級別會有所不同,甚至在不同的開發團隊之間也不會共享不同軟件的數據,而且考慮到 Paranoid 已經在 TRL5 中使用,可以想象這項技術實際上效果很好。
應該記住,沒有必要在區塊鏈上註冊代碼本身,但只需註冊代碼的驗證哈希值,這樣就不可能以任何方式從哈希值追溯到代碼,但可以絕對確定地使用它來驗證它,從而允許人們直接驗證所使用的軟件是否與區塊鏈上認證的軟件完全對應,而無需中介。