CN117951680B - 基于区块链的软件供应链动态追踪方法和追踪平台 - Google Patents
基于区块链的软件供应链动态追踪方法和追踪平台 Download PDFInfo
- Publication number
- CN117951680B CN117951680B CN202410342216.XA CN202410342216A CN117951680B CN 117951680 B CN117951680 B CN 117951680B CN 202410342216 A CN202410342216 A CN 202410342216A CN 117951680 B CN117951680 B CN 117951680B
- Authority
- CN
- China
- Prior art keywords
- data
- certificate
- software
- supply chain
- blockchain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012549 training Methods 0.000 claims abstract description 41
- 238000013507 mapping Methods 0.000 claims abstract description 25
- 238000011144 upstream manufacturing Methods 0.000 claims description 38
- 238000012797 qualification Methods 0.000 claims description 31
- 230000003068 static effect Effects 0.000 claims description 18
- 238000012795 verification Methods 0.000 claims description 8
- 230000001105 regulatory effect Effects 0.000 claims description 6
- 238000011161 development Methods 0.000 claims description 4
- 230000008520 organization Effects 0.000 claims description 3
- 238000011282 treatment Methods 0.000 claims description 2
- 230000000875 corresponding effect Effects 0.000 description 11
- 238000013479 data entry Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013499 data model Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开涉及软件供应链追踪领域,具体涉及一种基于区块链的软件供应链动态追踪方法和追踪平台,所述方法包括:创建所述基础VC证书的标准智能合约并返回合约地址;将区块链参数加入到所述基础VC证书得到新的基于区块链的增强型VC证书;将所述增强型VC证书加入到软件供应链的区块链网络中的信任链中以形成软件供应链的信任链;每完成一个训练数据集的训练,均将软件的训练或者标签上链存储;使用一个映射来保存;基于所述映射,在区块链网络中进行软件供应链的动态追踪。本公开建立数据追踪体系,完整监管并保障数据集的全生命周期。
Description
技术领域
本公开涉及软件供应链追踪领域,具体涉及一种基于区块链的软件供应链动态追踪方法和追踪平台。
背景技术
随着AI、大模型的热度持续不断,数据源的来源、质量、供应变得非常重要,原有的软件供应链是采用静态数据存储,但是对于大模型软件供应链,由于大模型需要不断训练、标签去迭代原有大模型,迭代频率相对于传统的软件供应链快几个数量级,因而原有的静态数据存储方式亟需改变,动态数据追踪体系对于大模型软件供应链的重要性可极大凸显。因此,基于区块链的动态数据追踪体系的必要性、价值性显而易见。区块链技术的可追溯性、不可篡改、多方协同的特性与大模型软件供应链的数据追踪体系很好地契合。基于区块链的动态数据追踪体系,通过区块链技术与数据追踪结合,提供分布式存储,产生数据的不可篡改的可信凭证。
目前传统的软件供应链分发市场通过BOM来进行软件供应链信息的传递,缺乏可信的认证体系,对于大模型软件供应链,由于数据源的参与,不仅需要对数据源的全流程追踪,而且整体的安全可信认证体系更为重要。
发明内容
本公开提供一种基于区块链的软件供应链动态追踪方法和追踪平台,借助区块链技术的不可篡改、可溯源、多方协同的特性,通过去中心化网络分发提供增强型VC证书,用于建立完整可靠的信任链,使得软件供应链上下游具备可靠的身份同时建立完善的准入控制机制;通过区块链的链式结构,建立数据追踪体系,完整监管并保障数据集的全生命周期。为解决背景技术中提到的上述技术问题,本公开提供如下技术方案:
作为本公开实施例的一个方面,提供基于区块链的软件供应链动态追踪方法,包括如下步骤:
S10、获取基础VC证书,将所述基础VC证书中的信息上链以生成对应的hash码,创建所述基础VC证书的标准智能合约并返回合约地址;
S20、将所述hash码和合约地址存储后的映射作为区块链参数加入到所述基础VC证书得到新的基于区块链的增强型VC证书;
S30、将所述增强型VC证书加入到软件供应链的区块链网络中的信任链中以形成软件供应链的信任链;
S40、将所述软件供应链的上下游静态BOM信息中的不同时间段内的训练数据集和标签数据进行科学排序后,将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件;其中,所述上下游静态BOM信息为映射软件系统中组件间的连接关系,以及提供一个框架来遍历所述软件系统内所有的数据源、软件组件以及静态数据;所述训练数据集为所述数据源经过训练得到的集合,所述标签数据为数据源经过标记和说明后的数据;
S50、每完成一个训练数据集的训练,均将软件的训练或者标签上链存储;使用一个映射来保存;
S60、基于所述映射,在区块链网络中进行软件供应链的动态追踪。
可选地,所述基础VC证书的标准智能合约包括如下中的一种或多种:
证书验证方法、证书历史记录查询追溯方法或BOM数据的存储映射方法。
可选地,所述增强型VC证书由信任链的根节点颁发二级信任链证书,作为信任体系认证的唯一可证伪凭证。
可选地,完整的信任链为数据源、上游组件开发、中游应用软件开发、下游应用软件的分发/使用,数据源、上游组件、下游应用软件分发依次对应从上至下下发的二级信任链证书、三级信任链证书、四级信任链证书。
可选地,训练数据集和标签数据输入线性管道中进行科学排序通过,所述线性管道用于将并行及多维的数据放入序列中进行排序,数据分发路由将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件。
可选地,所述信任链建立在资格VC、SBOM VC和data VC三种VC体系;其中,所述资格VC由监管机构进行下发给软件供应商,用于追踪整个软件产品开发过程;SBOM VC分为组件BOM VC和系统SBOM VCs,所述组件BOM VC内嵌上游供应商的资格VC,所述系统SBOM VCs用于集成所述组件BOM VC,作为软件产品全生命周期的系统视图。
可选地,对于第三方组件,如果上游供应商给予的资格VC内嵌在SBOM VCs中,同时资格VC没有被修改过,那么下游供应商在成功验证资格VCs后,就能将自己系统SBOM VCs证件嵌入到软件产品中;如果第三方组件中缺乏 SBOM VCs,那么下游供应商选择如下中的一种处理方式:
a)给上游供应商发送一个SBOM的请求;
b)进行安全检查并生成cSBOM VCs同时内嵌自己的资格VC到所述第三方组件中去,以增加第三方组件的可信度;
c)留下空白证书。
可选地,所述信任链最终的sSBOM VC为通过监管部门、多级数据源供应商、多级上游供应商和中游供应商递推传递得到,其中,sSBOM VC证书包括监管部分发放给多个数据源供应商的多个data VC、多个数据源供应商供给上游供应商的读个资格VC、多个上游供应商汇总给中游供应商的cSBOM VC和中游供应商最终汇总给消费者的sSBOM VC。
作为本公开实施例的另一个方面,提供一种基于区块链的软件供应链动态追踪平台,包括区块链网络,用于实现上述的基于区块链的软件供应链动态追踪方法。
相对于现有技术,本公开基于区块链的增强型VC证书,有助于建立大模型软件供应链的可信认证体系,使得软件供应链的上下游建立稳定的信任链,基于可信的大模型软件供应链体系更便于用户在整个体系中使用数据源的数据、上下游的组件及应用软件;基于区块链的数据追踪体系,有助于建立完整的动态数据追踪体系,通过区块链的不可篡改、可溯源的方式保证数据来源的可信及可追踪,便于整个大模型软件供应链体系中的权益相关者获取激励及保护自己的权益。
附图说明
图1为本公开实施例中的基于区块链的软件供应链动态追踪方法的流程图;
图2为本公开实施例中的增强型VC证书基本模型;
图3为本公开实施例中的增强型VC证书信任链;
图4为本公开实施例中的sSBOM VC证书模型实例;
图5为本公开实施例中的数据追踪基础模型;
图6为本公开实施例中的数据追踪排序路由模型;
图7为本公开实施例中的基于区块链的软件供应链动态追踪平台的示意框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
另外,为了更好地说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
可以理解,本公开提及的上述各个方法实施例,在不违背原理逻辑的情况下,均可以彼此相互结合形成结合后的实施例,限于篇幅,本公开不再赘述。
目前传统的软件供应链分发市场通过BOM来进行软件供应链信息的传递,缺乏可信的认证体系,对于大模型软件供应链,由于数据源的参与,不仅需要对数据源的全流程追踪,而且整体的安全可信认证体系更为重要。
因此,本公开实施例提供一种基于区块链的软件供应链动态追踪方法,如图1所示,包括如下步骤:
S10、获取基础VC证书,将所述基础VC证书中的信息上链以生成对应的hash码,创建所述基础VC证书的标准智能合约并返回合约地址;
S20、将所述hash码和合约地址存储后的映射作为区块链参数加入到所述基础VC证书得到新的基于区块链的增强型VC证书;
S30、将所述增强型VC证书加入到软件供应链的区块链网络中的信任链中以形成软件供应链的信任链;
S40、将所述软件供应链的上下游静态BOM信息中的不同时间段内的训练数据集和标签数据进行科学排序后,将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件;其中,所述上下游静态BOM信息为映射软件系统中组件间的连接关系,以及提供一个框架来遍历所述软件系统内所有的数据源、软件组件以及静态数据;
S50、每完成一个训练数据集的训练,均将软件的训练或者标签上链存储;使用一个映射来保存;
S60、基于所述映射,在区块链网络中进行软件供应链的动态追踪。
基于上述方法,本公开实施例借助区块链技术的不可篡改、可溯源、多方协同的特性,通过去中心化网络分发提供增强型VC证书,用于建立完整可靠的信任链,使得软件供应链上下游具备可靠的身份同时建立完善的准入控制机制;通过区块链的链式结构,建立数据追踪体系,完整监管并保障数据集的全生命周期;基于可信的大模型软件供应链体系更便于用户在整个体系中使用数据源的数据、上下游的组件及应用软件。
下面以大规模软件供应链为例,分别对本公开实施例的各步骤进行详细说明。
S10、获取基础VC证书,将所述基础VC证书中的信息上链以生成对应的hash码,创建所述基础VC证书的标准智能合约并返回合约地址;
其中,建立并部署大模型软件供应链的区块链网络;注册者通过大模型软件供应链官方提供的应用平台获取基础VC证书(传统的VC证书,不包含区块链参数),注册时提供个人钱包(基于区块链的去中心化钱包,存储个人在区块链网络上的私钥)的区块链账户,同时,VC证书信息上链,生成对应的VC证书hash码,同时创建一个VC证书的标准智能合约(包括证书验证方法、证书历史记录查询追溯方法、BOM数据的存储映射方法等)返回合约地址。
其中,传统的VC证书指的是由The W3C VCs Data Model约定的数字证书,是一种基于密码学不依赖第三方验证的凭证数据。
S20、将所述hash码和合约地址存储后的映射作为区块链参数加入到所述基础VC证书得到新的基于区块链的增强型VC证书。
其中,将hash码与合约地址做相关映射存储;将hash码与合约地址的映射作为区块链参数,加入到原有的VC证书中,生成一个新的基于区块链的增强型VC证书。
其中,本公开实施例中的基于区块链的增强型VC证书,是基于区块链网络提供了一个安全、透明以及去中心化的平台去发行和验证VC,区块链网络的引入加强了VC共享和分发的过程。如图2所示,增强型VC证书由元数据、声明、证明、区块链参数四部分组成,例如,基于区块链的数字身份证、数字教育证、数字出生证等。其中,元数据、声明、证明都是基于The W3C VCs Data Model标准,分别指代原始数据、主张的事项、数字证明(通常为数字签名)。区块链参数指代在区块链网络中对应的区块信息、该VC证书对应的智能合约地址、对应的root证书区块信息(便于查验是否篡改)等。
S30、将所述增强型VC证书加入到软件供应链的区块链网络中的信任链中以形成软件供应链的信任链;
大模型软件供应链的区块链网络是部署的联盟链网络,具备完备的证书体系,其中由联盟链委员会作为信任链的根节点root,自生成root证书;在一些实施例中,新生成的基于区块链的增强型VC证书,由信任链的根节点颁发二级信任链证书,作为信任体系认证的唯一可证伪凭证。
在一些实施例中,大模型软件供应链的链路为数据源-上游组件开发-中游应用软件开发-下游应用软件分发/使用,数据源、上游组件、下游应用软件分发依次对应从上至下下发的二级信任链证书、三级信任链证书、四级信任链证书;由于信任链证书由根节点持续逐级下发,因而根据联盟链的证书体系,较容易验证,保证了软件供应链的互信互认。
其中,信任链的VC体系主要建立资格VC、SBOM VC、data VC三种VC体系,其中增强型VC根证书的发放权在监管机构部门,信任链中所有的VC证书必须隶属于根证书的签发链条体系。根据软件供应链的上下游关系,以及上下游中不同的供应商权益相关者,分发不同的VC证书,具体包括如下:
A.资格VC
资格VC由监管机构进行下发给软件供应商,软件供应商有资格VC后,可以追踪整个软件开发过程,同时具备分发SBOM VC的资格。
B.SBOM VC
考虑软件产品的复杂组件和依赖关系,将SBOM VC分为组件层面和系统层面
1)组件BOM VC(cSBOM VCs):一个软件产品的组件内部,供应商所拥有的资格VC是内嵌在cSBOM VCs中的。对于第三方组件,如果上游供应商给予的资格VC内嵌在SBOM VCs中,同时资格VC没有被修改过,那么下游供应商在成功验证资格VCs后,就能将自己系统SBOM VCs证件嵌入到软件产品中。如果第三方组件中缺乏 SBOM VCs,那么下游供应商就能选择几种处理方式:
a)给上游供应商发送一个SBOM的请求,
b)进行安全检查并生成cSBOM VCs同时内嵌自己的资格VC到这些组件中去,从而增加第三方组件的可信度;(当然需要在允许的条件下,例如具备license)
c)留下空白证书。
以上三种方式,通常在这种情况下是建议请求或者生成cSBOM VCs的方式,不然会影响下游供应商的信誉,这样也能有效通过证书编码建立信任链。如果下游供应商修改了第三方组件,那么可以使用同样的内部流程。
系统SBOM VCs(sSBOM VCs):集成所有可用的cSBOM VCs,提供一个软件产品全生命周期的系统视图。
C.data VC
数据提供者有资格VC后,具备分发数据来源VC的资格,数据来源VC是由数据提供者进行分发。
根据上述的资格VC、SBOM VC、data VC三种VC证书,整个信任链如图3所示,所述增强型VC信任链最终的sSBOM VC为通过监管部门、多级数据源供应商、多级上游供应商和中游供应商递推传递得到,其中,sSBOM VC证书包括监管部分发放给多个数据源供应商的多个data VC(data1 VC、data2 VC、data3 VC、data4 VC)、多个数据源供应商供给上游供应商的读个资格VC(资格1 VC、资格2 VC、资格3 VC、资格4 VC)、多个上游供应商汇总给中游供应商的cSBOM VC(cSBOM3 VC、cSBOM2 VC、cSBOM1 VC)和中游供应商最终汇总给消费者的sSBOM VC,最终的sSBOM VC结构可以表示为如图4所示的结构。
S40、将所述软件供应链的上下游静态BOM信息中的不同时间段内的训练数据集和标签数据进行科学排序后,将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件;其中,所述上下游静态BOM信息为映射软件系统中组件间的连接关系,以及提供一个框架来遍历所述软件系统内所有的数据源、软件组件以及静态数据;
其中,实例化数据集的BOL,为适应大模型软件的频繁更新,针对于软件供应链的上下游静态BOM信息,采用数据分发路由(gateway)和线性管道(pipeline)结合的方式,将不同时间段内的训练数据集与标签数据输入线性管道中,借助数据分发路由将不同时间段的数据集分发给不同版本的不同组件,具体如图5所示,每完成一次将大模型的训练或者标签,均会进行上链存储,使用一个映射map(时间戳-组件BOM的映射)来进行保存,将该映射map称为BOL(Lots of BOM)。数据分发路由根据数据内设的路由路径,将数据分发到对应的路径中,保证大规模数据集中的数据可以分发到不同的训练模型(或者多次迭代过的训练模型)中去。
所述科学排序为如下方式:例如,在每个不同时间段的数据后面是有相应的时间戳,同时数据分级为1/2/3...,如果是等级为1的对应为只训练或者标签过一次的数据,等级为2对应为训练或者标签过两次的数据,以此类推,根据不同的数据分级进行排序,同时每个数据后面会有数据戳,可以根据不同的时间先后进行时间的排序。
在数据层面,基于区块链建立数据的全流程追踪体系,以数据集为单位,通过pipeline的形式将数据按要求排序,建立数据源路由数据分发路由,将数据分发给相关组件标签/训练,同时每次数据训练完成整个过程建立一个BOM记录下来并上链,不同时间段(对应区块链上不同的时间戳)可能存在多次数据训练过程需要建立一个BOM集组成BOL,能够动态追踪数据的全流程生命周期。组成一个完整的组件,放入第三方组件分发市场,同时发行相关增强型VC,和BOL形成映射关系,中游需要调用上游的第三方组件库中的组件,就可以查看对应的BOL选择性披露信息,有效追踪数据的去向;下游经销商和使用者使用也可以查看相关的BOL选择性披露的信息。数据提供者也可以随时追踪数据的使用去向,同时数据提供者可以根据数据价值获取相关激励。
其中,BOM由组件集合组成,每个组件是由输入组件和输出组件的聚合体;且每个组件至少有一个输入数据,同时生成一个新的输出数据。在当前的BOM实例中,组件的输出数据可以作为之后的组件的一个输入数据,或者被其他系统的BOM中被引用。为了定义这一点,输入数据和数据输出均被定义为数据集;如图5所示,组件的输入也可以包含artifacts(相关软件组件)、机器学习模型、文档材料(license、工作人员名单、政策文件等);在BOM中的assembly中的artifacts可以确保BOL有一个完整的继承关系及依赖关系的记录。一个组件可以生产一个新的artifact作为组件的输出(例如一个AI训练模型可以产生一个训练模型作为输出),训练模型可以被视为一个artifact,被作为其他assembly的输入。
其中,BOM定义的是一个系统结构的映射记录assembly与assembly之间的连接关系,同时提供了一个框架来遍历系统内所有的数据源、artifacts以及静态数据。其中静态数据包括对数据的访问路由(例如API URL)、可接受元数据的阈值、可响应的活跃QoS监测。
在大模型软件供应链中,如图6所示,由于经过数据集训练或标签后的组件自身会发生动态变化,从原有的组件1、组件2变为组件1’、组件2’,而数据集需要对组件进行多轮训练,因此原有单一静态数据集无法表示现有的大模型软件供应链体系的组件。因此提出BOL(BOM Lots)的概念,即BOM的动态集合,具体做法如下:
每次BOM过程运行时,该过程中的应用程序代码将针对给定的BOM实例化一个新的BOL。其中为了更好地追踪,在BOM在BOL中实例化时会创建一个复制数据条目,这个数据条目加入到BOL中用来维护一个动态运行的历史记录。
通过在BOM中存储、引用assemblies、数据来源、artifacts,在每个BOL中都有所有实例化的BOM,根据数据条目,就能很好的推导出数据集的历史生命周期,这样任何一个条目都能追踪发现所有的消费者。
指定的数据源元素的角色是用来存储实验运行时的访问数据。通常,通过一个url存储在数据源中,作为BOM的一部分,将动态的参数和结果存储在复制的数据条目中。元数据包括加密信息、可以请求到数据的异步数据请求+端点;通过dataBOM的网关去存储、检索以及编码区块链地址到一个数据源,通过检索的数据初始化一个区块链交易,这样的区块链交易可以作为一个数据请求的证明,或者网关请求第三方数据的一种手段。
为使数据集能够按序按需训练组件,采用pipeline结合数据分发路由的方式,其中pipeline是将数据集中的数据进行科学排序,数据分发路由对数据集的数据按规定的方式顺序进行路由。
S50、每完成一个训练数据集的训练,均将软件的训练或者标签上链存储;使用一个映射来保存;
其中,下游的应用软件的开发与使用,需要利用多个不同的基础大模型,由S40步骤可知每个数据集均有一个BOL,所开发的应用软件所使用数据集的情况,同样会以BOL为单位实例化一个映射map(BOL-应用软件的映射),重复步骤S40和S50,得到最终的映射map。
S60、基于所述映射,在区块链网络中进行软件供应链的动态追踪。
也即以BOL为媒介,在区块链网络中进行历史数据的获取即可进行软件供应链的动态追踪。基于区块链的数据追踪体系可以对数据提供者提供的数据集的全流程使用情况进行有效追踪,形成完整的数据集生命周期链路,以及大模型软件供应链各组件、应用软件、数据集的可信传递。
本公开实施例还提供一种基于区块链的软件供应链动态追踪平台,如图7所示,包括区块链网络,用于实现上述的基于区块链的软件供应链动态追踪方法。其中,所述区块链网络用于实现风险治理,也即实现合规规则验证、供应商的身份和可信度验证、供应链环节验证和激励及奖惩规则。
在风险治理层面,基于增强型VC证书建立风险治理体系,供应链上下游相关权益者(包括数据提供者、组件开发者、软件开发者、软件使用者)共同加入区块链网络中,构建去中心化的软件供应链网络,数据提供者、组件开发者、软件开发者、软件使用者将数据、组件、软件上传到区块链上,并生成数据哈希,由其他区块链网络上权益者进行验证,验证包括数据/组件/软件的质量及性能等,由于增强型VC证书的存在,因而具备增强型VC证书授权的能力,只有授权的参与方才能访问和更新数据/组件/软件,用于共同维护整个软件供应链各部分的质量和性能。相关权益者通过智能合约共同自动化验证整个供应链网络的合规规则、供应商的身份及可信度、供应链各环节,同时根据维护组件/数据/软件开发的开发者基于风险程度给予一定的奖励机制。
以上所述,仅为本公开较佳的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.基于区块链的软件供应链动态追踪方法,其特征在于,包括如下步骤:
S10、获取基础VC证书,将所述基础VC证书中的信息上链以生成对应的hash码,创建所述基础VC证书的标准智能合约并返回合约地址;
S20、将所述hash码和合约地址存储后的映射作为区块链参数加入到所述基础VC证书得到新的基于区块链的增强型VC证书;
S30、将所述增强型VC证书加入到软件供应链的区块链网络中的信任链中以形成软件供应链的信任链;
S40、将所述软件供应链的上下游静态BOM信息中的不同时间段内的训练数据集和标签数据进行科学排序后,将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件;其中,所述上下游静态BOM信息为映射软件系统中组件间的连接关系,以及提供一个框架来遍历所述软件系统内所有的数据源、软件组件以及静态数据;所述训练数据集为所述数据源经过训练得到的集合,所述标签数据为数据源经过标记和说明后的数据;
S50、每完成一个训练数据集的训练,均将软件的训练或者标签上链存储;使用一个映射来保存;
S60、基于所述映射,在区块链网络中进行软件供应链的动态追踪。
2.如权利要求1所述的基于区块链的软件供应链动态追踪方法,其特征在于,所述基础VC证书的标准智能合约包括如下中的一种或多种:
证书验证方法、证书历史记录查询追溯方法或BOM数据的存储映射方法。
3.如权利要求1或2所述的基于区块链的软件供应链动态追踪方法,其特征在于,所述增强型VC证书由信任链的根节点颁发二级信任链证书,作为信任体系认证的唯一可证伪凭证。
4.如权利要求1所述的基于区块链的软件供应链动态追踪方法,其特征在于,完整的信任链为数据源、上游组件开发、中游应用软件开发、下游应用软件的分发/使用,数据源、上游组件、下游应用软件分发依次对应从上至下下发的二级信任链证书、三级信任链证书、四级信任链证书。
5.如权利要求1-2、4任一项所述的基于区块链的软件供应链动态追踪方法,其特征在于,训练数据集和标签数据输入线性管道中进行科学排序通过,所述线性管道用于将并行及多维的数据放入序列中进行排序,数据分发路由将不同时间段的训练数据集中的数据路由分发给不同版本的不同组件。
6.如权利要求1-2、4任一项所述的基于区块链的软件供应链动态追踪方法,其特征在于,所述信任链建立在资格VC、SBOM VC和data VC三种VC体系;其中,所述资格VC由监管机构进行下发给软件供应商,用于追踪整个软件产品开发过程;SBOM VC分为组件BOM VC和系统SBOM VCs,所述组件BOM VC内嵌上游供应商的资格VC,所述系统SBOM VCs用于集成所述组件BOM VC,作为软件产品全生命周期的系统视图。
7.如权利要求6所述的基于区块链的软件供应链动态追踪方法,其特征在于,对于第三方组件,如果上游供应商给予的资格VC内嵌在SBOM VCs中,同时资格VC没有被修改过,那么下游供应商在成功验证资格VCs后,就能将自己系统SBOM VCs证件嵌入到软件产品中;如果第三方组件中缺乏 SBOM VCs,那么下游供应商选择如下中的一种处理方式:
a)给上游供应商发送一个SBOM的请求;
b)进行安全检查并生成cSBOM VCs同时内嵌自己的资格VC到所述第三方组件中去,以增加第三方组件的可信度;
c)留下空白证书。
8.如权利要求6所述的基于区块链的软件供应链动态追踪方法,其特征在于,所述信任链最终的sSBOM VC为通过监管部门、多级数据源供应商、多级上游供应商和中游供应商递推传递得到,其中,sSBOM VC证书包括监管部分发放给多个数据源供应商的多个data VC、多个数据源供应商供给上游供应商的读个资格VC、多个上游供应商汇总给中游供应商的cSBOM VC和中游供应商最终汇总给消费者的sSBOM VC。
9.一种基于区块链的软件供应链动态追踪平台,包括区块链网络,其特征在于,用于实现如权利要求1-8任一项所述的基于区块链的软件供应链动态追踪方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410342216.XA CN117951680B (zh) | 2024-03-25 | 2024-03-25 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410342216.XA CN117951680B (zh) | 2024-03-25 | 2024-03-25 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117951680A CN117951680A (zh) | 2024-04-30 |
| CN117951680B true CN117951680B (zh) | 2024-05-31 |
Family
ID=90799777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410342216.XA Active CN117951680B (zh) | 2024-03-25 | 2024-03-25 | 基于区块链的软件供应链动态追踪方法和追踪平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117951680B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113824600A (zh) * | 2021-11-22 | 2021-12-21 | 广东卓启云链科技有限公司 | 一种区块链邻近节点的维护方法及系统 |
| CN115664683A (zh) * | 2022-11-01 | 2023-01-31 | 桂林电子科技大学 | 一种基于区块链智能合约的跨域方法 |
| WO2023126511A1 (de) * | 2022-01-03 | 2023-07-06 | Krones Ag | Recyclingsystem für behältnisse, insbesondere pfandmanagementsystem |
| CN116596551A (zh) * | 2023-03-15 | 2023-08-15 | 航天科工网络信息发展有限公司 | 基于区块链的供应链产品溯源方法、存储介质和电子设备 |
| US11809575B1 (en) * | 2022-07-11 | 2023-11-07 | Cryptosoft Inc. | Platform and method for assessment and verification of Software Bill of Materials (SBOM) and vulnerabilities across a software supply chain life cycle using blockchain |
| CN117235692A (zh) * | 2023-11-13 | 2023-12-15 | 信通院(江西)科技创新研究院有限公司 | 一种基于Web3的软件供应链风险治理系统、方法和平台 |
| CN117745307A (zh) * | 2023-12-26 | 2024-03-22 | 西华大学 | 基于区块链的食品供应链多状态变化全流程安全溯源方法 |
-
2024
- 2024-03-25 CN CN202410342216.XA patent/CN117951680B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113824600A (zh) * | 2021-11-22 | 2021-12-21 | 广东卓启云链科技有限公司 | 一种区块链邻近节点的维护方法及系统 |
| WO2023126511A1 (de) * | 2022-01-03 | 2023-07-06 | Krones Ag | Recyclingsystem für behältnisse, insbesondere pfandmanagementsystem |
| US11809575B1 (en) * | 2022-07-11 | 2023-11-07 | Cryptosoft Inc. | Platform and method for assessment and verification of Software Bill of Materials (SBOM) and vulnerabilities across a software supply chain life cycle using blockchain |
| CN115664683A (zh) * | 2022-11-01 | 2023-01-31 | 桂林电子科技大学 | 一种基于区块链智能合约的跨域方法 |
| CN116596551A (zh) * | 2023-03-15 | 2023-08-15 | 航天科工网络信息发展有限公司 | 基于区块链的供应链产品溯源方法、存储介质和电子设备 |
| CN117235692A (zh) * | 2023-11-13 | 2023-12-15 | 信通院(江西)科技创新研究院有限公司 | 一种基于Web3的软件供应链风险治理系统、方法和平台 |
| CN117745307A (zh) * | 2023-12-26 | 2024-03-22 | 西华大学 | 基于区块链的食品供应链多状态变化全流程安全溯源方法 |
Non-Patent Citations (2)
| Title |
|---|
| software supply chain management and SBOM trends;WO Ryoo等;《electronics and telecommunications》;20231231;全文 * |
| 区块链助力供应链更智能;贺璐婷;;通信世界;20200715(19);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117951680A (zh) | 2024-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dib et al. | Consortium blockchains: Overview, applications and challenges | |
| US20210326872A1 (en) | Intelligent assertion tokens for authenticating and controlling network communications using a distributed ledger | |
| CN111507709B (zh) | 一种数据溯源系统 | |
| CN111539750A (zh) | 一种基于区块链和大数据技术的商品溯源系统 | |
| CN112085417A (zh) | 一种基于区块链的工业互联网标识分配与数据管理方法 | |
| CN109255622A (zh) | 一种追溯防伪数据存储系统 | |
| CN109978573A (zh) | 一种基于区块链的信息溯源系统 | |
| CN114493627A (zh) | 一种基于工业互联网标识解析技术的产品追溯方法及系统 | |
| CN112819483B (zh) | 基于区块链的产品溯源管理方法、装置及相关设备 | |
| CN111061982B (zh) | 一种基于区块链的新闻资讯发布及管理系统 | |
| CN111259439B (zh) | 一种基于区块链的无形资产管理服务平台及其实现方法 | |
| CN108876371B (zh) | 基于区块链的消费数据存储、数据校验、数据溯源方法 | |
| Poux et al. | Blockchains for the governance of common goods | |
| Xu et al. | [Retracted] Urban Fruit Quality Traceability Model Based on Smart Contract for Internet of Things | |
| Romano et al. | Beyond bitcoin: recent trends and perspectives in distributed ledger technology | |
| Cui et al. | Protecting vaccine safety: An improved, blockchain-based, storage-efficient scheme | |
| Li et al. | An exploratory study on the design and management model of traditional Chinese medicine quality safety traceability system based on blockchain technology | |
| Shi et al. | Using blockchain technology to implement peer-to-peer network in construction industry | |
| CN117235692B (zh) | 一种基于Web3的软件供应链风险治理系统、方法和平台 | |
| Jiang et al. | A cross-chain framework for industry collaboration and transaction | |
| CN117951680B (zh) | 基于区块链的软件供应链动态追踪方法和追踪平台 | |
| CN116596551A (zh) | 基于区块链的供应链产品溯源方法、存储介质和电子设备 | |
| CN117788007A (zh) | 一种基于区块链的中药饮片质量溯源系统及方法 | |
| Arcieri et al. | Coherence maintainance in cooperative information systems: the Access Key Warehouse approach | |
| CN111506929A (zh) | 一种结合区块链技术的产品流转标识方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |