1.命题方向
企业服务+智能计算
2.题目类别
应用类
3.题目名称
基于分布式数字身份的软件可信标识系统
4.背景说明
【整体背景】
在数字化时代背景下,软件应用作为信息技术的核心载体和产业融合的关键纽带,推动了数字化产业的迅猛发展。因此,在加速推进软件产业发展的同时,确保软件供应链的安全性至关重要,这将有助于软件更有效地促进生产和生活的进步,并为数字经济的稳健发展奠定坚实基础。当前,软件应用的开发模式已由传统的迭代开发演变为敏捷开发,特别是随着开源时代的到来,软件发展的生态被重塑,开发模式亦发生改变。开源模式倡导的平等、开放、协作、共享理念,正加速软件的迭代升级,并已成为全球软件技术和产业创新的主导力量。
据Gartner的调查结果显示,几乎所有的组织在其信息系统中都使用了开源组件,开源软件和组件已经成为现代软件不可或缺的核心部分。然而,开源的广泛使用和软件来源的多元化也使得软件供应链安全问题日益凸显。软件物料清单(SBOM)详细记录了软件中使用的组件及其关键信息,增强了软件构成和来源的可追溯性,提升了软件供应链的透明度。SBOM有助于识别潜在的安全风险、存在漏洞的组件、过期组件等,从而有效降低软件供应链的安全风险。软件物料清单通过提高软件透明度,已成为软件供应链治理的关键工具,也是国际上公认的重要方法论。尽管如此,国内在构建软件物料清单体系时,仍面临一些挑战,如行业间缺乏共识导致数据不兼容、数据泄露风险、系统软件组成复杂导致数据收集困难等问题。
针对上述问题,《网络产品安全漏洞管理规定》于2021年9月1日正式实施,规定网络运营者在发现或获知其网络、信息系统及其设备存在安全漏洞后,必须立即采取措施,及时验证并修补安全漏洞。2022年2月15日,《网络安全审查办法》正式实施,旨在确保关键信息基础设施供应链的安全,维护国家安全,对关键信息基础设施运营者采购网络产品和服务,若存在或可能影响国家安全的情况,应进行网络安全审查。
为了满足国家战略需求,以开源社区为平台,积极推进关键工具研发、资源库构建、管理平台建设、标准规范制定等能力建设,以增强开源生态治理,提升产业链的韧性和安全水平。区块链技术作为物料溯源和去中心化身份验证的关键基础技术,能够提供软件唯一的去中心化身份标识、SBOM密码学存证,并构建基于区块链的软件成分分析系统、开源组件安全审查、源代码溯源分析、软件SBOM管理、SBOM可视化与管理、风险策略管控、风险预警、系统集成功能、开源SBOM知识库等。
【公司背景】
杭州云象网络技术有限公司成立于2014年,提供基于“区块链+数据安全+隐私计算”的金融数字化整体解决方案,中国最早从事区块链技术研究与商业应用、法定数字货币核心技术研究的团队。云象总部位于杭州,在北京、上海、广州、重庆、西安、深圳、香港设有分支机构。云象在“区块链+数据安全+隐私计算”等核心领域拥有200+项发明专利,90+项软件著作权,在TKDE、PAMI、INFOCOM、IJCAI、AAAI、软件学报等国际顶级会议和期刊上发表30+篇论文,其中“关键领域联盟区块链基础设施核心技术与应用”科技成果获得多位院士(中国工程院陈纯院士、中国科学院朱中梁院士等)高度评价。
云象拥有区块链基础设施平台YunChain、隐私计算数据安全平台YunPCDS、数字人民币核心业务平台YunDCEP、区块链跨链互操作平台YunCross等核心技术产品,其中区块链基础设施平台、数字人民币核心业务平台、隐私计算数据安全平台入选2020、2022、2023年度浙江省首版次软件产品;在数字债券、数字人民币、数字仓单、供应链金融、数字身份、数据要素市场等领域拥有众多成功实施案例;为国家重要金融市场基础设施提供关键技术支撑,是数字人民币生态核心技术产品主要服务商。
国产化及自主可控一直是云象不懈努力追求的目标。云象是全国信息技术创新工作委员会成员,工信部信创区块链推进行动参与单位。公司核心产品均通过了中国信通院和中央网信办的测试和备案,均兼容主流国产服务器、国产操作系统、国产数据库、国产中间件、国密算法等。
【业务背景】
杭州云象是国家级专精特新小巨人,拥有省级研发中心,设有区块链安全与平台技术教育部工程研究中心,是之江实验室首个战略协同创新生态企业(智能计算),构建了面向全国的隐私计算与数据要素市场创新联合体;参与了中国人民银行金融分布式账本标准制定,承担了多个国家金融市场区块链基础设施建设,承担了国家重点研发计划“区块链”重点专项(2022全国唯一企业牵头,包括隐私计算、数据要素、数字身份、法定数字货币等);与浙江大学网络空间安全学院、电子科技大学网络空间安全学院共建了产学研基地,连续四年入选工信部赛迪区块链研究院等机构联合发布的 “中国区块链百强企业”系列榜单,并多次位居榜首。
云象积极参与软件供应链安全相关的标准建设、课题研究等工作,作为《去中心化软件标识技术要求》标准核心制定单位,先进软件供应链治理联盟的主要建设单位和基础设施提供方。与此同时,杭州云象依靠区块链+隐私计算+身份安全等专业能力,自研可信分布式数字身份平台(英文名 Yunphant DID,简称YunDID),以支撑去中心化软件标识签发和流转,该平台是依据W3C DID和VC标准自主研发的分布式数字身份技术综合解决方案,提供身份的创建、验证及管理等一站服务,以密码学为支撑的隐私保护和数据安全的数字身份体系。
5.项目说明
【问题说明】
目前在软件供应链安全体系建设过程中,存在如下问题:
(1)软件标识的使用没有统一标准,导致沟通双方所指并不一致;
(2)软件标识的创建、查询、验证、吊销和冻结等功能不完善,影响了软件生态系统的管理和控制能力;
(3)软件物料清单和软件标识生成工具等先进技术的应用不足,无法满足客户对标识化数据管理的需求。
【用户期望】
(1)采用区块链技术对开源软件进行标识,需要符合国际化W3C DID标准;
(2)生成开源软件SBOM清单,格式包括:SPDX、CDX和SWID,需至少满足2种;
(3)开源软件漏洞数据定时采集,形成本地软件漏洞库,并提供软件漏洞扫描功能,至少支持两种主流软件语言构建,即:Java、NodeJS、Golang、Rust、C/C++等。
6.任务要求
【开发说明】
需开发3套工具、1个漏洞库和1个可视化管理平台,包括:
(1)软件标识工具:构建联盟区块链网络,标识符合W3C DID标准,功能包括:软件标识颁发、标识注销、标识密钥更新,更新标识文档、查询软件标识等;
(2)软件SBOM工具:分析软件构件并生成软件SBOM,至少支持两种SBOM主流格式(包括:SPDX、CDX、SWID),至少支持两种软件语言(包括:Java、NodeJS、Golang、Rust、C/C++等);
(3)软件漏洞扫描工具:基于软件SBOM工具和软件漏洞库,对用户主动上传的软件包进行扫描,生成漏洞清单信息;
(4)软件漏洞库:采集公开软件漏洞信息,并形成本地软件漏洞库;
(5)软件标识管理系统:集成上述工具和漏洞库,提供用户可视化操作界面,用户可查看软件标识、SBOM和漏洞分析数据并图表展示,并且可上传软件包进行扫描,生成漏洞清单信息。
【技术要求与指标】
(1)支持区块链技术:包括Hyperledger Fabric、长安链、以太坊Ethereum、百度链XuperChain、微众链Fisco Bcos、溪塔链CITA等中任意一种底层技术;
(2)区块链网络规模:区块链网络不少于5个共识节点;
(3)软件标识技术:符合W3C Decentralized Identifiers(DIDs)标准;
(4)软件SBOM格式:至少支持两种SBOM主流格式(包括:SPDX、CDX、SWID)
(5)软件漏洞库:至少包含1万条软件漏洞数据;
(6)工具/系统性能:单个软件SBOM生成小于30秒;软件标识颁发小于10秒;软件漏洞分析并生成报告小于300秒。
【提交材料】
(1)项目概要介绍;
(2)项目简介 PPT;
(3)项目详细方案;
(4)项目演示视频;
(5)企业要求提交的材料:
①项目系统操作手册;
②项目数据说明。
(6)团队自愿提交的其他补充材料。
【任务清单】
(1)软件标识工具:基于开源区块链技术(二选一:Hyperledger Fabric、长安链)构建软件标识工具,标识符合W3C DID标准,至少功能包括:软件标识颁发、标识注销、标识密钥更新,更新标识文档、查询软件标识;
(2)软件SBOM工具:分析软件构件并生成软件SBOM,至少支持两种SBOM主流格式(包括:SPDX、CDX、SWID),至少支持两种软件语言(包括:Java、NodeJS、Golang、Rust、C/C++等);
(3)软件漏洞库:开源软件漏洞数据定时采集,形成本地软件漏洞库,漏洞数据量不少于1万条;
(4)软件漏洞扫描工具:基于软件SBOM工具和软件漏洞库,对用户主动上传的软件包进行扫描,生成漏洞清单信息;
(5)软件标识管理系统:提供可视化界面,展示区块链上软件标识信息,分析软件标识、清单和漏洞数据并通过图表展示,提供用户在线软件SBOM生成和漏洞扫描和生成报告功能。
【开发工具与数据接口】
自选
7.其他
无
8.参考信息
(1)W3C DID 标准:https://www.w3.org/TR/did-core/;
(2)SPDX:https://spdx.dev/;
(3)SBOM:https://www.cisa.gov/sbom;
(4)软件漏洞库CVE:https://cve.mitre.org;
(5)软件漏洞库NVD:https://nvd.nist.gov/。
9.评分要点
赛题评分要点见附件一:A 类企业命题初赛统一评分标准。