CN117235692A - 一种基于Web3的软件供应链风险治理系统、方法和平台 - Google Patents
一种基于Web3的软件供应链风险治理系统、方法和平台 Download PDFInfo
- Publication number
- CN117235692A CN117235692A CN202311500400.4A CN202311500400A CN117235692A CN 117235692 A CN117235692 A CN 117235692A CN 202311500400 A CN202311500400 A CN 202311500400A CN 117235692 A CN117235692 A CN 117235692A
- Authority
- CN
- China
- Prior art keywords
- service
- data
- risk management
- software
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000007726 management method Methods 0.000 claims description 100
- 238000012797 qualification Methods 0.000 claims description 55
- 230000006870 function Effects 0.000 claims description 26
- 238000012795 verification Methods 0.000 claims description 10
- 238000012549 training Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 238000013475 authorization Methods 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 4
- 238000013473 artificial intelligence Methods 0.000 abstract description 8
- 238000011144 upstream manufacturing Methods 0.000 description 8
- 230000005284 excitation Effects 0.000 description 6
- 230000009467 reduction Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000013479 data entry Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013499 data model Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004873 anchoring Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及人工智能风险治理领域,具体涉及一种基于Web3的软件供应链风险治理系统、方法和平台,所述系统包括:服务层,用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务;链上数据层,基于所述服务层中的数字身份服务设立数字身份合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;链下数据层,用于存储服务层中涉及到的详情数据。本公开解决了传统软件供应链、人工智能小模型依赖大模型的软件供应链体系的风险识别、风险治理的问题,建立更安全、可信的软件供应链体系。
Description
技术领域
本公开涉及人工智能风险治理领域,具体涉及一种基于Web3的软件供应链风险治理系统、方法和平台。
背景技术
目前AI研究趋于大热,但大模型技术却未进行商业化应用,主要原因有一是模型间的自管理及数据依赖性问题。由于大模型依赖多个小模型、不同的数据源,其中每个小模型、数据源、隐私安全均具备一定的风险(包括子模型自身的代码漏洞、后门指令、算法不透明性,数据依赖性强、数据源结果不准确、数据可控性不强,训练数据、推理数据存在大量隐私保护问题);人工智能应用程序易因上下游的软件供应链条,衍生指数级增长的软件风险,导致系统的整体风险较大。但是人工智能的应用使用,可以高效辅助人类决策,亟需一种新型风险治理体系,降低AI软件供应链的整体风险,使AI大模型可以让使用者更为放心地使用低风险的可信大模型技术驱动企业生产力。
基于新型经济体系与价值创造方式,Web3汇集具有一致价值观和同一目标的群体,并凭借智能合约驱动的价值自动分配方式为Web3的自治、自运营和自演化提供了重要的手段。构建一个软件供应链涉及到不同软件模块或者子系统的开发和使用,在组件软件系统时难以构建全链条的安全风险治理体系,容易引入风险。而且,传统软件供应链、人工智能小模型依赖大模型的软件供应链体系的风险识别、风险治理,风险无法掌控在同一个系统监管者手中,因此,构建一个开放共荣的Web3软件供应链体系具有重要作用。
发明内容
本公开提供一种基于Web3的软件供应链风险治理系统、方法和平台,通过构建基于Web3的软件供应链风险治理体系的治理层、智能算法层、基础模型层抽象出的综合型模型,综合考虑数据安全、身份安全、软件供应链安全、风险治理,从软件供应链全生命周期出发,构建整个XBOM模型在供应链全流程的具体实现。为解决上述技术问题,本公开提供如下技术方案:
作为本公开实施例的一个方面,提供一种基于Web3的软件供应链风险治理系统,包括:
服务层,用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
链上数据层,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
可选地,所述资格VC证书为由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名。
可选地,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
可选地,所述数字证书服务还包括建立资格VC证书、SBOM VC、数据源VC三种VC体系;其中,所述资格VC证书由监管机构进行下发给软件供应商,软件供应商有资格VC证书后追踪整个软件开发过程,同时具备分发SBOM VC的资格;所述SBOM VC用于第三方组件的验证;所述数据源VC用于由数据提供者进行资格VC证书的分发。
可选地,所述模型卡详情包括软件供应链模型的基本信息、预期用途、影响模型性能的因素、衡量模型性能的指标、用于评估模型性能的数据集以及用于训练模型的数据集。
可选地,所述风险管理服务还包括:建立基于区块链的动态数据追踪体系,所述动态数据追踪体系根据每一时刻的动态数据信息构建数据集,从提供提供数据信息集合到最终的软件应用的全流程软件供应链生命周期中,通过区块链进行全流程溯源追踪。
可选地,所述风险管理服务还包括:借助智能合约,在数据提供者提供数据集时,给予数据提供者激励回馈;所述激励回馈为基于模型卡的激励模型获取的,所述基于模型卡的激励模型为根据数据提供者提供的数据集、组件开发者提供的组件、软件开发者提供的软件的数据集描述、组件描述以及软件描述获取相对应的模型卡,根据所述模型卡质量,给予所述数据提供者、组件开发者或软件开发者以激励。
作为本公开实施例的另一个方面,提供一种基于Web3的软件供应链风险治理方法,包括:
构建服务层,所述服务层用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
根据服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务构建管理所述服务层的链上数据层,其中,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
基于所述服务层构建链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
可选地,所述资格VC证书为由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名;
和/或,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
作为本公开实施例的另一个方面,提供一种基于Web3的软件供应链风险治理平台,包括如上述的基于Web3的软件供应链风险治理系统以及供监管者、数据提供者、组件开发者、软件开发者和软件使用者使用的应用软件,所述应用软件用于接入服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务以实现与所述监管者、数据提供者、组件开发者、软件开发者和软件使用者的交互。
相对于现有技术,本公开实施例综合考虑数据安全、身份安全、软件供应链安全、风险治理,从软件供应链全生命周期出发,解决了传统软件供应链、人工智能小模型依赖大模型的软件供应链体系的风险识别、风险治理的问题,建立更安全、可信的软件供应链体系,使得各行各业企业可安心使用传统软件、类chatGPT产品,用于提高企业生产力。
附图说明
图1为根据本公开实施例1中的基于Web3的软件供应链风险治理系统的示意框图;
图2为资格VC证书的组成示意框图;
图3为基于区块链的动态数据追踪体系示意流程图;
图4为基于模型卡的激励模型示意图;
图5为基于Web3的软件供应链风险治理方法流程图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,为了更好地说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
可以理解,本公开提及的上述各个方法实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。
此外,本公开还提供了基于Web3的软件供应链风险治理系统、电子设备、计算机可读存储介质、程序,上述均可用来实现本公开提供的任一种基于Web3的软件供应链风险治理方法,相应技术方案和描述和参见方法部分的相应记载,不再赘述。
基于Web3的软件供应链风险治理方法的执行主体可以是计算机或者其他能够实现基于Web3的软件供应链风险治理的装置,例如,方法可以由区块链中的终端设备或服务器或其它处理设备执行,其中,终端设备可以为用户设备(User Equipment,UE)、移动设备、用户终端、终端、蜂窝电话、无绳电话、个人数字处理(Personal Digital Assistant,PDA)、手持设备、计算设备、车载设备、可穿戴设备等。在一些可能的实现方式中,该基于Web3的软件供应链风险治理方法可以通过基于Web3的软件供应链风险治理平台中的设备中的处理器调用存储器中存储的计算机可读指令的方式来实现。
实施例1
本实施例提供一种基于Web3的软件供应链风险治理系统,如图1所示,包括:
服务层,用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
链上数据层,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
基于上述配置本公开实施例通过构建基于Web3的软件供应链风险治理体系的治理层、智能算法层、基础模型层抽象出的综合型模型,综合考虑数据安全、身份安全、软件供应链安全、风险治理,从软件供应链全生命周期出发,构建整个XBOM模型在供应链全流程的具体实现;解决了传统软件供应链、人工智能小模型依赖大模型的软件供应链体系的风险识别、风险治理的问题,建立更安全、可信的软件供应链体系,使得各行各业企业可安心使用传统软件、类chatGPT产品,用于提高企业生产力。
下面分别对本公开实施例的各层进行详细说明。
其中,数据VC合约是专门处理数据相关的智能合约,数据源VC是指数据提供者发布数据源的数据源凭证,数据VC合约可以包括数据源VC所有的处理逻辑函数。
其中,BOM由assembly集合组成,每个assembly是由输入组件和输出组件的聚合体;且每个assembly至少有一个输入数据,同时生成一个新的输出数据。在当前的BOM实例中,assembly的输出数据可以作为之后的assembly的一个输入数据,或者被其他系统的BOM中被引用。为了定义这一点,输入数据和输出数据均被定义为数据源。
同时,assembly的输入也可以包含artifacts(相关软件组件)、机器学习模型、文档材料(license、工作人员名单、政策文件等);在BOM中的assembly中的artifacts可以确保BOL有一个完整的继承关系及依赖关系的记录。
一个assembly可以生产一个新的artifact作为assembly的输出(例如一个AI训练模型可以产生一个训练模型作为输出),训练模型可以被视为一个artifact,被作为其他assembly的输入。
BOM定义的是一个系统结构的映射记录assembly与assembly之间的连接关系,同时提供了一个框架来遍历系统内所有的数据源、artifacts以及静态数据。其中静态数据包括对数据的访问路由(例如API URL)、可接受元数据的阈值、可响应的活跃QoS监测。
每次BOM过程运行时,该过程中的应用程序代码将针对给定的BOM实例化一个新的BOL。其中为了更好地追踪,BOM在BOL中实例化时会创建一个复制数据条目,这个数据条目加入到BOL中用来维护一个动态运行的历史记录。
通过在BOM中存储、引用assemblies、数据源、artifacts,在每个BOL中都有所有实例化的BOM,根据数据条目,就能很好的推导出数据生态的历史生命周期,这样任何一个条目都能追踪发现所有的消费者。(BOL可以等价于BOM通过图数据库将数据源的使用,以可视化的方式展示出来)
指定的数据源元素的角色是用来存储实验运行时的访问数据。通常,通过一个url存储在数据源中,作为BOM的一部分,将动态的参数和结果存储在复制的数据条目中。元数据包括加密信息、可以请求到数据的异步数据请求+端点;通过dataBOM的网关去存储、检索以及编码区块链地址到一个数据源,通过检索的数据初始化一个区块链交易,这样的区块链交易可以作为一个数据请求的证明,或者网关请求第三方数据的一种手段。
优选地,在服务层中,所述资格VC证书为由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名;其中,VC指是数字证书,是一种基于密码学不依赖第三方验证的凭证数据。The W3C VCs Data Model模型约定了统一的语言和体系,发行、存储以及保存VC,可以让VC在不同的系统中进行流转交互。区块链网络提供了一个安全、透明以及去中心化的平台去发行和验证VC,区块链+VC的结合加强了凭证共享和分发的过程。
传统的SBOM中,包括组件供应商名称、组件名称、组件版本、独特标识符(例如URL)、依赖关系、SBOM数据作者和时间戳。而改造现有的SBOM标准显然不实际,因此可以通过区块链的引入,将SBOM原有的标准字段,衍生为更广阔的适用于AI软件系统供应链模型的字段,在AI软件系统供应链模型相比于传统软件供应链中主要差异就是数据源。
模型卡是促进AI向RAI转变的实践工具,主要好处如下:1.增加模型的透明度,让用户和利益相关者了解模型的基本信息、设计目的、评估方法、数据源等,从而提高模型的可信度和可解释性。2.揭示模型的性能差异,让用户和利益相关者看到模型在不同的群体、环境和仪器下的表现,从而评估模型的适用性和公平性。3.引导模型的道德考量,让用户和利益相关者思考模型可能带来的风险和伤害,以及如何减轻这些影响,从而促进模型的道德和社会责任。4.促进模型的改进和比较,让用户和利益相关者根据模型卡中提供的指标和建议,对模型进行优化、调整或选择,从而提高模型的质量和效果。
模型卡主要包括以下内容:
1.模型详情:模型的基本信息,如开发者、版本、类型、训练算法、引用等。2.预期用途:模型的设计目的、预期用户、适用场景和限制。3.相关因素:影响模型性能的因素,如人群、仪器和环境等。4.评估指标:衡量模型性能的指标,如准确率、召回率、假阳性率和假阴性率等。5.评估数据:用于评估模型性能的数据集,包括数据源、处理方法和分布情况等。6.训练数据:用于训练模型的数据集,包括分布情况和偏差情况等。
其中,基于The W3C VCs Data Model模型,VC证书的构成如图2所示:
VC证书由证书元数据、声明、证明三部分组成,示例有数字身份证、数字教育证、数字出生证等。
声明是通过“subject- property-value”来表达,提出可以主张的事项。
证明是指数字证明,通常是数字签名。
优选地,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
其中,采用数字身份DID来定义信任链中的唯一可核查的数字身份,基于区块链的数字身份独立于集中化CA、证书颁发机构,采用区块链分布式方式进行数字身份标识的分发。DID的组成为<DID method>:<method-specific identifier>,将每个VC证书锚定一个DID身份。
优选地,所述数字证书服务还包括建立资格VC证书、SBOM VC、数据源VC三种VC体系;其中,所述资格VC证书由监管机构进行下发给软件供应商,软件供应商有资格VC证书后追踪整个软件开发过程,同时具备分发SBOM VC的资格;所述SBOM VC用于第三方组件的验证;所述数据源VC用于由数据提供者进行资格VC证书的分发;其中,资格VC由监管机构进行下发给软件供应商,软件供应商有资格VC后,可以追踪整个软件开发过程,同时具备分发SBOM VC的资格。考虑软件产品的复杂组件和依赖关系,将SBOM VC分为组件层面和系统层面
1)组件BOM VC(cSBOM VCs):一个软件产品的组件内部,供应商所拥有的资格VC是内嵌在cSBOM VCs中的。对于第三方组件,如果上游供应商给予的资格VC内嵌在SBOM VCs中,同时资格VC没有被修改过,那么下游供应商在成功验证资格VCs后,就能将自己系统SBOM VCs证件嵌入到软件产品中。如果第三方组件中缺乏SBOM VCs,那么下游供应商就能选择几种处理方式:
a)给上游供应商发送一个SBOM的请求;
b)进行安全检查并生成cSBOM VCs同时内嵌自己的资格VC到这些组件中去,从而增加第三方组件的可信度;(当然需要在允许的条件下,例如具备license)
c)留下空白证书。
以上三种方式,通常在这种情况下是建议请求或者生成cSBOM VCs的方式,不然会影响下游供应商的信誉,这样也能有效通过证书编码建立信任链。如果下游供应商修改了第三方组件,那么可以使用同样的内部流程。
其中,数据提供者有资格VC后,具备分发数据源VC的资格,数据源VC是由数据提供者进行分发。
优选地,所述风险管理服务还包括:建立基于区块链的动态数据追踪体系,所述动态数据追踪体系根据每一时刻的动态数据信息构建数据集,从提供提供数据信息集合到最终的软件应用的全流程软件供应链生命周期中,通过区块链进行全流程溯源追踪。
优选地,所述风险管理服务还包括:借助智能合约,在数据提供者提供数据集时,给予数据提供者激励回馈;所述激励回馈为基于模型卡的激励模型获取的,所述基于模型卡的激励模型为根据数据提供者提供的数据集、组件开发者提供的组件、软件开发者提供的软件的数据集描述、组件描述以及软件描述获取相对应的模型卡,根据所述模型卡质量,给予所述数据提供者、组件开发者或软件开发者以激励。
其中,激励分为Transferable激励和Non-transferable激励两类。
1)Transferable激励指金钱、奖励、赏金等,一类包括同质化通证(FT)和非同质化通证(NFT),通过市场上的交易和流通,带来经济效益,通证价格上涨可以带来一定激励作用;另一类是指代治理权力,可参与决策和提案,维护自身权益。
2)Non-transferable激励指精神上满足,非经济性激励,例如名誉、声望、知识等。
(1)经济激励模型
经济激励为软件供应链风险治理体系的核心动力,以及主要激励,以NFT为核心,在软件供应链风险治理体系中,由于上下游不同功能、不同层级、不同类型的风险问题,处理风险的手段、效果和对整体软件供应链体系风险的贡献程度均有很大的区别,传统的FT可能无法满足这种场景,通过NFT来实现对权益相关方的激励。每一项风险处理对应不同的NFT,不同的软件供应链权益者对NFT的价值具备一定的主观性,因而激励的价值与效用是非公开的,但是NFT能在特定的市场上流通,以拥有者与需求者双方接受的方式进行交易。
(2)声誉激励模型
软件供应链风险治理体系中各权益者的声誉信息记录在区块链节点中,获取途径包括取得由根节点颁发的可信身份凭证VC具备基础声誉、节点参与风险降低治理根据贡献获取声誉。声誉与节点的信任等级有关,声誉高的节点,其信任等级较高,在软件供应链体系中数据流传输的效率更快。在声誉激励模型中,确定声誉的作用及影响因子、量化计算方式,通过声誉方式筛选及划分恶性节点、良性节点。
(3)质量价值激励模型
针对软件供应链风险治理体系中,不同权益者节点针对不同质量的风险降低操作及任务,对整个体系的贡献明显不同,风险降低价值质量因与经济激励、声誉激励进行合理的良性锚定,驱动组织形态的良性发展。因此,需要在整个软件供应链风险治理体系中,首先对降低风险量的价值质量进行计算,得出风险处理所需的代价及贡献,之后针对所评估的贡献值进行跟踪,得出风险处理的价值质量,长期通过反馈的形式,对经济和声誉激励进行动态调整。例如权益者A做出相关的针对于软件供应链环节中的某个组件风险降低改进操作,首先根据工作量评估该操作的价值,给定权益者A一定数额的声誉及经济激励,后期针对于其他权益者B、C等通过使用改进后组件获得风险降低,按照比例给予一定数额的声誉及经济激励持续发放给权益者A。
基于数据可追踪体系,建立了基于区块链的动态数据追踪体系,根据数据集针对每一时刻的BOM构建BOM集合的BOL,从提供数据集到最终的软件应用的全流程软件供应链生命周期中,通过区块链进行全流程溯源追踪。
借助智能合约,如图3所示,在数据提供者提供数据集时,给予数据提供者激励回馈;在组件开发者发布完整的组件到第三方组件分发市场时,给予组件开发者激励回馈,同时根据数据追踪体系,给予数据集归属的数据提供者一定的激励回馈;在软件开发者发布开发好的软件到应用软件分发市场,给予软件开发者激励回馈,同时根据数据追踪体系,基于数据集归属的数据提供者、内嵌组件的组件提供者一定的激励回馈;最终,根据软件应用具体的用户量,给予归属的组件开发者、数据提供者、软件开发者一定比例的激励回馈。
数据提供者提供数据集、组件开发者提供组件、软件开发者提供软件,如图4所示,在提供后均会分发相关部分的模型卡,让开发者提供性能特征描述,描述相关部分的具体性能详情,同时基于区块链提供由权益相关者VC认证的数字签名,作为性能的责任人。下游供应商拿到相关的模型卡,即可进行验证,验证成功后,给予上游供应商激励、声誉回馈(验证成功给予激励同时赋予相关数值的声誉,反之亦然)。同时,后台系统根据提供的模型卡质量(参数提供量),给予供应商一定的激励。其中,上游供应商、下游供应商均在区块链上注册DID身份,通过区块链的共识机制,可以满足模型卡的去中心化验证。
实施例2
本实施例提供一种基于Web3的软件供应链风险治理方法,采用如实施例1中的任意一个基于Web3的软件供应链风险治理系统来实施,如图5所示,包括:
S10、构建服务层,所述服务层用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
S20、根据服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务构建管理所述服务层的链上数据层,其中,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
S30、基于所述服务层构建链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
优选地,所述资格VC证书为由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名;
和/或,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
本实施例中的其他优选方式也可以采用实施例1中的各个优选的实施方式实现。
实施例3
作为本公开实施例的另一个方面,提供一种基于Web3的软件供应链风险治理平台,包括如实施例1中的基于Web3的软件供应链风险治理系统以及供监管者、数据提供者、组件开发者、软件开发者和软件使用者使用的应用软件,所述应用软件用于接入服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务以实现与所述监管者、数据提供者、组件开发者、软件开发者和软件使用者的交互。
其中,权益相关者在XBOM共享链中扮演着重要的角色,确保完整性和可信度。每个下游供应商都有责任区验证上一级上游供应商的VC,这样就能形成一个信任链。整个权益相关者包括监管者、数据提供者、组件开发者、软件开发者、软件使用者五类。
其中,监管者(资格VC发行者),监管者所在的监管机构包括政府机构、认证机构以及行业标准认证机构等;其主要职责如下:
承担验证供应商的资格和身份并给校验合格的供应商发放资格VC,维护系统内部完整性,设置资格VC标准,处理系统内产生的纠纷,在违规的情况下执行常规的奖惩规则,例如伪造SBOM VCs或者不遵循相关标准执行相关惩罚。
其中,数据提供者为数据VC的持有者,dataBOM VC的发行者;组件开发者为资格VC证书的持有者,cSBOM VC的发行者,DATA VC的校验者;软件开发者为资格VC的持有者,sSBOM VC的发行者,DATA VC、上游供应商cSBOM VC及资格VC的校验者;上述权益相关者的主要职责:必须从监管机构获取资格VC才有资格发行证书,具备资格VC的供应商才能给自己的软件产品及系统发行SBOM VCs,同时内嵌自己的资格VC。
其中,软件使用者为DATA VC、SBOM VC及资格VC的验证者;其主要职责为:购买或导入第三方软件或组件时校验相关证书,确保软件可信可长期使用。
尽管已经示出和描述了本公开的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本公开的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本公开的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种基于Web3的软件供应链风险治理系统,其特征在于,包括:
服务层,用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
链上数据层,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
2.如权利要求1所述的基于Web3的软件供应链风险治理系统,其特征在于,所述资格VC证书由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名。
3.如权利要求1或2所述的基于Web3的软件供应链风险治理系统,其特征在于,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
4.如权利要求2所述的基于Web3的软件供应链风险治理系统,其特征在于,所述数字证书服务还包括建立资格VC证书、SBOM VC、数据源VC三种VC体系;其中,所述资格VC证书由监管机构进行下发给软件供应商,软件供应商有资格VC证书后追踪整个软件开发过程,同时具备分发SBOM VC的资格;所述SBOM VC用于第三方组件的验证;所述数据源VC用于由数据提供者进行资格VC证书的分发。
5.如权利要求1-2、4任一项所述的基于Web3的软件供应链风险治理系统,其特征在于,所述模型卡详情包括软件供应链模型的基本信息、预期用途、影响模型性能的因素、衡量模型性能的指标、用于评估模型性能的数据集以及用于训练模型的数据集。
6.如权利要求5所述的基于Web3的软件供应链风险治理系统,其特征在于,所述风险管理服务还包括:建立基于区块链的动态数据追踪体系,所述动态数据追踪体系根据每一时刻的动态数据信息构建数据集,从提供数据信息集合到最终的软件应用的全流程软件供应链生命周期中,通过区块链进行全流程溯源追踪。
7.如权利要求5所述的基于Web3的软件供应链风险治理系统,其特征在于,所述风险管理服务还包括:借助智能合约,在数据提供者提供数据集时,给予数据提供者激励回馈;所述激励回馈为基于模型卡的激励模型获取的,所述基于模型卡的激励模型为根据数据提供者提供的数据集、组件开发者提供的组件、软件开发者提供的软件的数据集描述、组件描述以及软件描述获取相对应的模型卡,根据所述模型卡质量,给予所述数据提供者、组件开发者或软件开发者以激励。
8.一种基于Web3的软件供应链风险治理方法,其特征在于,包括:
构建服务层,所述服务层用于实现数字身份服务、数字证书服务、数据源服务和风险管理服务,所述数字身份服务包括如下功能中的一种或多种:DID身份的注册登记、身份信息的更新、授权相关权限要素、权限列表功能;所述数字证书服务包括如下功能中的一种或多种:资格VC证书的发行、撤销和验证;所述数据源服务包括将动态数据信息打包成记录同一数据源的多个数据信息集合;所述风险管理服务包括如下功能中的一种或多种:风险等级评定、风险详情查询、根据权益者不同的风险信用等级进行不同的权限及优先级匹配配置、通过风险漏洞识别工具进行风险的智能识别;其中,每个资格VC证书锚定一个DID身份;
根据服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务构建管理所述服务层的链上数据层,其中,基于所述服务层中的数字身份服务设立数字身份合约,基于数字证书服务建立包括如下合约中的至少一种:资格VC合约、数据信息集合VC合约和数据VC合约,基于数据源服务建立数据服务管理合约、隐私保护合约,基于风险管理服务建立风险管理合约;
基于所述服务层构建链下数据层,用于存储服务层中涉及到的详情数据;所述详情数据包括实现数字身份服务、数字证书服务、数据源服务和风险管理服务所分别涉及到的风险详情、证书详情、数据集详情和模型卡详情。
9.如权利要求8所述的基于Web3的软件供应链风险治理方法,其特征在于,所述资格VC证书为由证书元数据、声明、证明三部分组成,所述声明为主张的事项,所述证明为数字签名;
和/或,所述DID身份用于定义信任链中唯一可核查的数字身份,采用区块链分布式方式进行数字身份标识的分发。
10.一种基于Web3的软件供应链风险治理平台,其特征在于,包括如权利要求1-7任一项所述的基于Web3的软件供应链风险治理系统,以及供监管者、数据提供者、组件开发者、软件开发者和软件使用者使用的应用软件,所述应用软件用于接入服务层中的数字身份服务、数字证书服务、数据源服务和风险管理服务以实现与所述监管者、数据提供者、组件开发者、软件开发者和软件使用者的交互。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311500400.4A CN117235692B (zh) | 2023-11-13 | 2023-11-13 | 一种基于Web3的软件供应链风险治理系统、方法和平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311500400.4A CN117235692B (zh) | 2023-11-13 | 2023-11-13 | 一种基于Web3的软件供应链风险治理系统、方法和平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117235692A true CN117235692A (zh) | 2023-12-15 |
| CN117235692B CN117235692B (zh) | 2024-02-27 |
Family
ID=89093221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311500400.4A Active CN117235692B (zh) | 2023-11-13 | 2023-11-13 | 一种基于Web3的软件供应链风险治理系统、方法和平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117235692B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117951680A (zh) * | 2024-03-25 | 2024-04-30 | 信通院(江西)科技创新研究院有限公司 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110222518A (zh) * | 2019-05-30 | 2019-09-10 | 北京工业大学 | 基于区块链的可信权能访问控制方法 |
| CN110321336A (zh) * | 2019-06-21 | 2019-10-11 | 迅鳐成都科技有限公司 | 一种基于区块链的在库管理平台 |
| CN110489492A (zh) * | 2019-08-27 | 2019-11-22 | 山东浪潮人工智能研究院有限公司 | 一种基于区块链的医疗保险精准认定方法 |
| CN112235114A (zh) * | 2020-09-25 | 2021-01-15 | 西安纸贵互联网科技有限公司 | 基于区块链的业务处理系统 |
| CN112580102A (zh) * | 2020-12-29 | 2021-03-30 | 郑州大学 | 基于区块链的多维度数字身份鉴别系统 |
| CN114385648A (zh) * | 2021-12-17 | 2022-04-22 | 天津八分量数字科技有限公司 | 一种基于区块链隔离验证的供应链金融系统 |
| CN115514489A (zh) * | 2022-08-03 | 2022-12-23 | 上海万向区块链股份公司 | 知识密集型零工经济服务系统及其运行方法 |
| US11809575B1 (en) * | 2022-07-11 | 2023-11-07 | Cryptosoft Inc. | Platform and method for assessment and verification of Software Bill of Materials (SBOM) and vulnerabilities across a software supply chain life cycle using blockchain |
-
2023
- 2023-11-13 CN CN202311500400.4A patent/CN117235692B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110222518A (zh) * | 2019-05-30 | 2019-09-10 | 北京工业大学 | 基于区块链的可信权能访问控制方法 |
| CN110321336A (zh) * | 2019-06-21 | 2019-10-11 | 迅鳐成都科技有限公司 | 一种基于区块链的在库管理平台 |
| CN110489492A (zh) * | 2019-08-27 | 2019-11-22 | 山东浪潮人工智能研究院有限公司 | 一种基于区块链的医疗保险精准认定方法 |
| CN112235114A (zh) * | 2020-09-25 | 2021-01-15 | 西安纸贵互联网科技有限公司 | 基于区块链的业务处理系统 |
| CN112580102A (zh) * | 2020-12-29 | 2021-03-30 | 郑州大学 | 基于区块链的多维度数字身份鉴别系统 |
| CN114385648A (zh) * | 2021-12-17 | 2022-04-22 | 天津八分量数字科技有限公司 | 一种基于区块链隔离验证的供应链金融系统 |
| US11809575B1 (en) * | 2022-07-11 | 2023-11-07 | Cryptosoft Inc. | Platform and method for assessment and verification of Software Bill of Materials (SBOM) and vulnerabilities across a software supply chain life cycle using blockchain |
| CN115514489A (zh) * | 2022-08-03 | 2022-12-23 | 上海万向区块链股份公司 | 知识密集型零工经济服务系统及其运行方法 |
Non-Patent Citations (2)
| Title |
|---|
| 斯雪明等: "Web3.0下的区块链相关技术进展", 《科技导报》 * |
| 马超群;孔晓琳;林子君;李登佳;匡先华;周中定;李平;吴刚;: "区块链技术背景下的金融创新和风险管理", 中国科学基金, no. 01 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117951680A (zh) * | 2024-03-25 | 2024-04-30 | 信通院(江西)科技创新研究院有限公司 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
| CN117951680B (zh) * | 2024-03-25 | 2024-05-31 | 信通院(江西)科技创新研究院有限公司 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117235692B (zh) | 2024-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bellini et al. | Blockchain-based distributed trust and reputation management systems: A survey | |
| US10832215B2 (en) | Blockchain for program code credit and programmer contribution in a collective | |
| Ocheja et al. | Managing lifelong learning records through blockchain | |
| Garriga et al. | Blockchain and cryptocurrencies: A classification and comparison of architecture drivers | |
| Abdul-Rahman | A framework for decentralised trust reasoning | |
| Nawari et al. | Blockchain technologies in BIM workflow environment | |
| CN117235692B (zh) | 一种基于Web3的软件供应链风险治理系统、方法和平台 | |
| US20220027803A1 (en) | Sustainable tokens for supply chain with privacy preserving protocol | |
| CN113987080A (zh) | 基于信誉共识的区块链激励方法、装置及相关产品 | |
| Dimitrakos | A service-oriented trust management framework | |
| Bhamidipati et al. | Claimchain: Secure blockchain platform for handling insurance claims processing | |
| Liu et al. | A pattern language for blockchain governance | |
| Wen et al. | Application of blockchain technology in data management: advantages and solutions | |
| Samer et al. | A formal model of trust for calculating the quality of X. 509 certificate | |
| Vahabli et al. | A novel trust-based access control for social networks using fuzzy systems | |
| Yu et al. | Deep learning personalized recommendation-based construction method of hybrid blockchain model | |
| Zhou et al. | Ensuring Long-Term Trustworthy Collaboration in IoT Networks using Contract Theory and Reputation Mechanism on Blockchain | |
| Mohsenzadeh et al. | A novel reputation-based consensus framework (RCF) in distributed ledger technology | |
| Ural et al. | Survey on Blockchain-Enhanced Machine Learning | |
| CN111427961B (zh) | 基于区块链的简历确权方法以及区块链简历系统及其设备 | |
| Xiong et al. | Financial investment trust mechanism based on smart contract | |
| CN111199468A (zh) | 一种区块链网络的信息处理方法及装置、存储介质 | |
| Chaimaa et al. | A Dynamic Access Control Model for Cloud Computing Environments | |
| Nedaković | Analysis and improvements of VerifyMed—the blockchain solution for virtualized healthcare trust relations | |
| Prabu et al. | Academic Information Storage and Verification Using Blockchain Technologies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |