Военно-морской флот США ищет частных партнеров для исследований и разработки своей запатентованной технологии безопасности на основе блокчейна под названием PARANOID.
Это решение для защиты программного обеспечения, которое управляет цепочкой поставок, и которое использует блокчейн для обеспечения безопасности сред разработки программного обеспечения и для проверки готового программного обеспечения.
Пока это все еще только прототип (TRL5), и он состоит из инфраструктуры blockchain на основе Hyperledger, серверного приложения, плагина для Visual Studio и Visual Studio Code и приложения для оффлайн-проверки программного обеспечения.
Summary
Марина США: Открытие для частных лиц проекта блокчейн Paranoid
Согласно пресс-релизу, опубликованному несколько дней назад, ВМФ ищет сотрудничества с частной индустрией для разработки этого программного обеспечения, которое позволяет отслеживать и демонстрировать процесс разработки программного обеспечения.
Программное обеспечение стало неотъемлемой частью как военных самолетов, так и транспортных средств и систем вооружения, поэтому требуется решение, которое гарантирует безопасную цепочку поставок программного обеспечения. По этой причине был разработан Paranoid.
Теперь целью ВМФ было бы даже коммерциализировать это новшество, хотя изначально Paranoid был разработан только для поддержки безопасной разработки, в частности, авионического программного обеспечения для авиационных программ Naval Aviation Enterprise (NAE).
Однако теоретически это решение применимо к любой организации или компании, которой требуется полная отслеживаемость с достоверной доказуемостью для разработки программного обеспечения, чтобы предотвратить атаки, которые могут произойти именно во время самого процесса разработки.
Paranoid доступен для частных предприятий через TechLink, национального партнера по передаче технологий Министерства обороны, но ВМФ также предлагает частным разработчикам соглашение о совместных исследованиях и разработках (CRADA), которое позволяет сотрудничество между государственными учреждениями и частными компаниями.
Старший менеджер по технологиям TechLink, Нида Шайх, заявил:
«Идеальным партнером CRADA была бы компания, заинтересованная в разработке решения для защиты цепочки поставок программного обеспечения. Это включало бы компании в области разработки программного обеспечения, которые были бы готовы установить и протестировать PARANOID для обратной связи и масштабируемости.»
Что такое Paranoid
Эта новая технология была изобретена NAWCAD, то есть Aircraft Division Naval Air Warfare Center в Лейкхерсте, Нью-Джерси.
Проблема, которую нужно было решить, заключалась в проверке безопасности на всех этапах процесса разработки программного обеспечения, от создания и изменения исходного кода до его компиляции, до создания конечного приложения и его отправки конечному пользователю.
Дело в том, что каждый из этих этапов теоретически содержит бесчисленные возможности для проведения кибератак, как изнутри, так и снаружи, например, скрытно вставить вредоносный код или заменить один файл на другой.
Метод PARANOID решает проблему, гарантируя целостность программного обеспечения на протяжении всего его жизненного цикла благодаря blockchain.
Существующий прототип, функционирующий на так называемом уровне готовности технологии 5 (TRL5), интегрируется с уже существующими open source средами разработки, такими как Visual Studio и Visual Studio Code, и связывает действия разработчиков с транзакциями blockchain.
Согласно изобретателям PARANOID, эта методология на blockchain доказала свою жизнеспособность как подход для поддержки исчерпываемой отслеживаемости и сильной доказуемости целостности системы разработки для программного обеспечения критически важного назначения.
Преимущество заключается в том, что блокчейн является неизменяемым реестром, доступным для всех, напрямую и без посредников. Любое изменение блоков будет немедленно обнаружено.
Все участвующие компьютеры имеют копию этого реестра, чтобы проверять его без необходимости обращаться к посредникам, и все транзакции проверяются и обновляются в соответствии с публичным протоколом.
С PARANOID, каждое развитие критического программного обеспечения является транзакцией на blockchain, поэтому любые непредвиденные изменения или другие кибератаки обнаруживаются немедленно.
Цель состоит в том, чтобы эффективно предотвратить несанкционированные изменения исходного кода, а также замену или несанкционированное вставку файлов, объектов, исполняемых файлов и тестовых пакетов.
Блокчейн за пределами криптовалют
Первый экземпляр публичной и децентрализованной blockchain появился в январе 2009 года с майнингом первого блока Bitcoin, созданного Сатоши Накамото.
Изначально эта технология использовалась только в области криптовалют, но позже стало ясно, что ее характеристики делают ее отличной и для других видов использования, включая, например, NFT.
В частности, публичная и децентрализованная blockchain оказывается неуязвимой и неизменяемой, потому что любой может лично проверить, что все транзакции правильные.
В случае с Paranoid, однако, не используется публичный блокчейн, по очевидным причинам, а используется разрешенная DLT (Hyperledger), которая, тем не менее, выполняет очень похожую роль.
На самом деле, любой, кто будет работать с программным обеспечением, управляемым Paranoid, получит прямой доступ к цепочке транзакций программного обеспечения, чтобы лично и без посредников убедиться, что все транзакции являются правильными.
Можно представить, что существуют разные уровни доступа, и что данные различных программных обеспечений не будут передаваться даже между различными командами разработчиков, и учитывая, что Paranoid уже используется в TRL5, можно представить, что эта технология действительно хорошо работает.
Следует помнить, что нет необходимости регистрировать сам код в блокчейне, достаточно зарегистрировать хэш для валидации кода таким образом, чтобы по хэшу нельзя было никаким образом восстановить код, но можно было бы использовать его с абсолютной уверенностью для его подтверждения, чтобы можно было лично и без посредников проверить, что программное обеспечение, которое используется, точно соответствует тому, что сертифицировано в блокчейне.
