[发明专利]基于maven架构的包管理器解析第三方依赖的方法及系统

说明书

本发明公开了一种基于maven架构的包管理器解析第三方依赖的方法及系统，该方法为：采用依赖解析命令对项目中的各个第三方组件的依赖关系进行解析，当有异常情况发生而导致当前解析命令不能继续执行时，如果是直接依赖异常，可将该直接依赖关系列表剔除，以使得解析工作可继续执行，如果是间接依赖出现异常，先将每一依赖关系列表单独分离，单独解析，然后将解析失败的剔除，将解析成功的再合并进行综合解析，那么综合解析结果和剔除的直接依赖信息即为所要解析结果；通过上述方法，不仅可有效确保解析结果的正确性，当解析过程出现异常时，还可对异常及时作出应对处理措施，使得解析过程可继续执行，从而有效解决了包管理器中的依赖解析命令的不足。

技术领域

本发明涉及软件项目第三方依赖组件解析技术领域，尤其涉及一种基于maven架构的包管理器解析第三方依赖的方法及系统。

背景技术

软件项目开发是一个系统性的工程，每一个软件项目会用到若干源码组件，为有效提高软件开发效率，现如今的软件开发中大多都会使用现成的开源组件，然而，这虽然有助于提高软件开发效率，但是开源组件也会为软件项目带来较多风险漏洞，因此，需要对软件项目中的开源成分，也即第三方依赖进行检测。

现在市场上，一般采用软件成分分析(SCA,Software Composition Analysis)工具分析项目中的第三方组件成分，并显示这些组件成分的漏洞和许可等信息。如何找出一个项目和应用中的第三方依赖的成分，针对有包管理器的项目，如java语言的包管理器maven，gradle，js语言的包管理器npm。一般通过执行包管理器的命令来获取第三方依赖的信息，但是直接利用包管理器自身的命令来解析，会有很多的局限性和缺陷，例如，现有的包管理器自身的解析命令执行过程中，如果某一依赖出现未知错误，将使得整个解析过程无法继续执行，也不会给出相应的解析结果，而且不方便查找出现错误的依赖组件，但是不用包管理器的命令解析，用其他方式解析的话，准确性又很难保证。所以如何在保证解析正确的第三方依赖的情况下，又能解决命令行带来的局限性和缺陷就显得尤为重要。

发明内容

本发明的目的是为提供一种既可有效确保正确解析第三方依赖又可解决现有命令解析过程中出现的异常问题的基于maven架构的包管理器解析第三方依赖的方法及系统。

为了实现上述目的，本发明公开了一种基于maven架构的包管理器解析第三方依赖的方法，其包括：

通过基于基于maven架构的包管理器中的依赖解析命令对当前项目下的总的pom文件中的依赖关系列表进行解析，并对解析过程进行实时监控；

当解析过程中出现错误信息时，判断该错误信息是否来自于直接依赖，如果是，则将与该错误信息相对应的依赖关系列表从所述pom文件中剔除；如果否，则将当前项目下的总的pom文件中的所有依赖关系列表分离出来，并分别单独存放，以生成若干单一依赖关系列表的临时pom文件；

通过所述依赖解析命令分别单独对每一临时pom文件进行解析，如果解析成功，则记录解析成功信息，如果解析失败，则将该依赖关系列表剔除；

将单独解析成功的若干临时pom文件合并，生成一新的综合pom文件；

采用上述依赖解析命令对该综合pom文件进行综合解析，并对解析结果进行记录。

较佳地，对解析过程进行监控的过程中，如果同一条下载信息停留超过预设值，则中断当前依赖解析命令的执行，并将当前项目下的总的pom文件中的所有依赖关系列表分离出来，并分别单独存放，以生成若干单一依赖关系列表的临时pom文件；

通过所述依赖解析命令分别对每一临时pom文件进行解析，如果解析成功，则记录解析成功信息，如果解析失败，则将该依赖关系列表剔除；

将单独解析成功的若干临时pom文件合并，生成一新的综合pom文件；