• 崔宝江, 宋绪言. 区块链在软件供应链管理中的应用探索[J]. 保密科学技术, 2019(5): 41-44.
• 主要作者来自北京邮电大学网络空间安全学院 移动互联网安全技术国家工程实验室；

摘要

探索用区块链技术保障软件供应链安全

1 引言

略。

2 软件供应链面临的安全风险

• 一个完整的软件产品的生命周期包括功能设计、开发集成、软件分发、运行维护等环节；
• 软件供应链的攻击按照受害者分类：
  • 针对开发者的攻击：将后门或木马植入软件供应链的下游【比如IDE】，开发者使用这些带有恶意代码的软件后，新开发出来的软件也会带有后门或木马。
  • 针对软件分发渠道的攻击：者通过某些方式向软件分发渠道商的服务器中注入恶意软件，所有通过该渠道获得软件的用户都会受到威胁。

3 造成软件供应链安全风险的原因分析

1. 软件的复杂性
2. 开源软件的飞速发展
3. 供应链安全事故的责任不明确

4 区块链应用于软件供应链管理的探索

区块链相关特性：
1）一是不可篡改，区块链分布式账本的各方使用同步协调机制，并且只支持“增查”操作，防止数据库内容被篡改；【这个特性起到了防止黑客攻击后引起的数据篡改问题】
2）二是从单方面维护变为多方面维护，分布式账本是一种多方共同维护、不存在单点故障的分布式系统，数据的写入和同步不仅仅局限在一个主体内。【防止单点故障】

• （不可篡改->抗抵赖、溯源->责任）利用不可篡改的特性，通过区块链对开发者使用的第三方库或开源软件进行管理和跟踪，利用区块链进行溯源，当发生供应链安全事故时及时确认事故影响的范围，同时明确事故责任人；
  【防止中心化信任，当中央仓库不可信时还有分布式账本中的历史记录（因为篡改区块链代价非常高，需要控制超过一半的节点），另外如果某组件是导致故障发生的原因，在链上的记录可以溯源引入该组件的开发人员或者是提供该组件的供应商】

• 合约层：使用区块链存储第三方库的“指纹”以及安全性评估信息。当开发者打算使用软件供应链中某个库时，他们首先访问区块链网络，查询该软件的安全评估信息，若安全性符合要求再去中央仓库或开源网站获取数据。
• 身份准入层：要对参与者的真实身份进行确认，参与者第一次加入网络时需要申请独有的密钥。
• 用户层：按角色可以分为国家主管部门、软件用户单位、软件安全专业团队和软件集成商。

当成员行使职能时，网络上的其他节点将会对该成员的行为进行确认和记录，这从根本上消除了成员主观作恶的可能性。