[发明专利]开源组件的分析方法和装置

说明书

本发明提供了一种开源组件的分析方法和装置。其中，该方法包括：获取各个项目的开源组件数据；其中，开源组件数据包括静态组件数据和动态组件数据；将开源组件数据与预先设置的样本库数据进行匹配，得到匹配结果；并且，基于匹配结果确定各个开源组件的风险等级信息；展示匹配结果和各个开源组件的风险等级信息。该方式中，兼具静态扫描与动态扫描能力，可以对静态组件数据和动态组件数据均进行扫描分析；还具有风险分析能力，可以自动确定各个开源组件的风险等级信息，从而提高用户的体验感。

技术领域

本发明涉及数据处理技术领域，尤其是涉及一种开源组件的分析方法和装置。

背景技术

随着现代系统结构的越发复杂，系统中所使用的开源组件越来越多，各系统对于开源组件的识别也越来越困难。由于开源组件的使用受到法律的保护，各个系统过分使用开源组件具有合规风险，因此，企业内部有必要使用一定的措施针对系统使用的开源组件进行提取识别，并匹配对应的开源许可证。

当前市场中有许多系统组件的扫描工具，但大都基于静态代码进行扫描并且需要手动进行匹配，对扫描结果无法区分是否为开源组件，更无法匹配开源信息，不具有风险提醒的功能，扫描工具的使用者的体验感较差。

发明内容

有鉴于此，本发明的目的在于提供一种开源组件的分析方法和装置，以对静态组件数据和动态组件数据均进行扫描分析，并自动确定各个开源组件的风险等级信息，从而提高用户的体验感。

第一方面，本发明实施例提供了一种开源组件的分析方法，方法包括：获取各个项目的开源组件数据；其中，开源组件数据包括静态组件数据和动态组件数据；将开源组件数据与预先设置的样本库数据进行匹配，得到匹配结果；并且，基于匹配结果确定各个开源组件的风险等级信息；展示匹配结果和各个开源组件的风险等级信息。

在本发明较佳的实施例中，上述获取各个项目的开源组件数据的步骤，包括：通过预先设定的目标对外接口获取各个项目的开源组件数据。

在本发明较佳的实施例中，上述获取各个项目的开源组件数据的步骤，包括：对各个项目的开源组件数据的静态代码进行解析，得到各个项目的静态组件数据；对各个项目的开源组件数据的运行态的服务进行解析，得到各个项目的动态组件数据。

在本发明较佳的实施例中，上述对各个项目的开源组件数据的静态代码进行解析，得到各个项目的静态组件数据的步骤，包括：通过预先设置的脚本对指定项目的指定文件进行解析，得到指定项目的系统特征文件，作为指定项目的静态组件数据。

在本发明较佳的实施例中，上述对各个项目的开源组件数据的运行态的服务进行解析，得到各个项目的动态组件数据的步骤，包括：从运行内存中读取对各个项目的开源组件数据的运行态的服务的开源组件信息，作为各个项目的动态组件数据。

在本发明较佳的实施例中，上述将开源组件数据与预先设置的样本库数据进行匹配，得到匹配结果的步骤，包括：基于各个开源组件的名称和版本对将开源组件数据与预先设置的样本库数据进行精确匹配，得到精确匹配结果；基于各个开源组件的名称或版本对将开源组件数据与样本库数据进行模糊匹配，得到模糊匹配结果；基于精确匹配结果和模糊匹配结果确定最终的匹配结果。

在本发明较佳的实施例中，上述样本库数据预先设置有各个开源组件的开源组件的风险等级信息；上述基于匹配结果确定各个开源组件的风险等级信息的步骤，包括：基于匹配结果从样本库数据中查找各个开源组件的开源组件的风险等级信息。

在本发明较佳的实施例中，上述展示匹配结果和各个开源组件的风险等级信息的步骤，包括：通过网页展示平台匹配结果；在网页平台中标注风险等级信息为高风险的开源组件。

在本发明较佳的实施例中，上述基于匹配结果确定各个开源组件的风险等级信息的步骤之后，方法还包括：如果目标开源组件的风险等级信息为高风险，将目标开源组件的开源组件数据发送至目标开源组件对应的项目的项目负责人的终端设备中。