[发明专利]一种软件物料清单的生成方法、装置和计算机可读介质

权利要求书

1.一种软件物料清单的生成方法，其特征在于，包括：

获取目标软件对象的源代码和配置文件；

层级扫描所述源代码，确定所述目标软件对象的第一有效信息；

依据所述第一有效信息在组件信息库中进行组件匹配，所述组件信息库中至少包括第二有效信息和第一二进制组件文件对应的特征向量；

提取成功匹配到的所述第二有效信息作为第一依赖信息；

将所述源代码进行编译处理得到第二二进制组件文件，依据所述第二二进制组件文件与所述第一二进制组件文件进行同源分析，得到满足预设层级标准的第二依赖信息；

从所述配置文件中提取得到第三依赖信息，所述第三依赖信息为所述目标软件对象对应的更新补充信息；

依据所述第一依赖信息、所述第二依赖信息、所述第三依赖信息生成第四依赖信息，并根据所述第四依赖信息生成软件物料清单；

其中，在依据所述第一有效信息在组件信息库中进行组件匹配之前，还包括:

采集开源组件的源代码、第三二进制组件文件；

从所述源代码中提取得到所述第二有效信息；

将所述源代码进行编译后得到第四二进制组件文件，所述第一二进制组件文件包括所述第三二进制组件文件和所述第四二进制组件文件；

从所述第一二进制组件文件中提取得到特征向量；

依据所述源代码的所述第二有效信息以及所述第一二进制组件文件的特征向量生成所述组件信息库；

其中，所述层级扫描所述源代码，确定所述目标软件对象的第一有效信息，包括：

层级扫描所述源代码得到所述目标软件对象的特征文件；

解析所述特征文件得到所述第一有效信息，所述第一有效信息至少包括组件信息、许可证信息、文件信息；

其中，所述满足预设层级标准的第二依赖信息为与所述第二二进制组件文件对应的相同版本的组件的所述第二有效信息，所述相同版本的组件对应的第二有效信息至少包括组件版本和组件多层依赖关系。

2.根据权利要求1所述的方法，其特征在于，还包括：

在满足所述目标软件对象更新条件的情况下，循环上述步骤生成新的软件物料清单。

3.根据权利要求2所述的方法，其特征在于，所述目标软件对象的更新条件为所述目标软件对象的源代码发生变化、所述目标软件对象进行编译构建。

4.根据权利要求1所述的方法，其特征在于，所述依据所述第二二进制组件文件与所述第一二进制组件文件进行同源分析，得到满足预设层级标准的第二依赖信息，包括：

将所述第二二进制组件文件进行反编译，提取所述第二二进制组件文件对应的第二图数据特征；

通过图神经网络对所述第二图数据特征进行聚合，得到第二图嵌入表示向量；

依据第一图嵌入表示向量和所述第二图嵌入表示向量计算得到所述第一二进制组件文件对应组件和所述第二二进制组件文件对应组件之间的相似度，所述第一图嵌入表示向量为所述组件信息库中的所述第一二进制组件文件对应的特征向量；

依据预设的相似阈值判断所述第一二进制组件文件对应组件和所述第二二进制组件文件对应组件是否为同源组件；

提取判断为同源组件的所述第一二进制组件文件对应组件的组件信息作为满足预设层级标准的第二依赖信息。

5.根据权利要求1所述的方法，其特征在于，还包括：

依据所述软件物料清单进行风险问题分析，得到所述目标软件对象的追溯定位结果，所述风险问题分析至少包括漏洞风险分析、许可证风险分析。