基于特征标记追踪技术的开源治理方法、系统及电子设备技术方案

本发明专利技术涉及特征标记追踪技术领域，揭露了一种基于特征标记追踪技术的开源治理方法、系统及电子设备，其中，所述方法包括：提取预先获取的开源组件包中的开源组件标记信息，其中，开源组件标记信息包括源头标记信息、哈希值标记信息及状态标记信息；对开源组件标记信息进行成分检测，得到开源组件状态；根据开源组件标记信息及开源组件状态生成软件物料清单，并对软件物料清单进行可视化展示。本发明专利技术可以区分相同开源组件在不同场景下的来源、用途，对开源组件进行有效的识别和管理，从而提高开源组件区分时的准确性以及提高开源组件的管理效率。效率。效率。

【技术实现步骤摘要】
基于特征标记追踪技术的开源治理方法、系统及电子设备


[0001]本专利技术涉及特征标记追踪
，尤其涉及一种基于特征标记追踪技术的开源治理方法、系统及电子设备。

技术介绍

[0002]如今开发人员广泛使用开源组件，事实上，据估计，每个应用程序的80％至90％都由开源组件组成，例如，一是Synopsys的研究显示，软件应用程序中使用的第三方组件中有一半已经过时，可能不安全；二是来自Black Duck的报告称，使用开源组件的所有应用程序中，超过60％包含已知的软件漏洞。针对上述情况，项目的组成成分分析（SCA，Software Composition Analysis）技术可以有效的检测项目应用中的第三方开源成分，但是在真实的使用环境中，仅仅检测出第三方组件是无法进行有效的管理和使用，同时面对复杂的软件供应链攻击，也缺乏验证和校验的机制。因此，如何区分相同开源组件在不同场景下的来源、用途，对开源组件进行有效的识别和管理，从而提高区分开源组件来源、用途时的准确性及管理效率成为一个亟待解决的问题。

技术实现思路

[0003]本专利技术提供一种基于特征标记追踪技术的开源治理方法、系统及电子设备，其主要目的在于解决相关技术中区分开源组件来源、用途时的准确性及管理效率较低的问题。
[0004]为实现上述目的，本专利技术提供的一种基于特征标记追踪技术的开源治理方法，包括：提取预先获取的开源组件包中的开源组件标记信息，其中，开源组件标记信息包括源头标记信息、哈希值标记信息及状态标记信息；对开源组件标记信息进行成分检测，得到开源组件状态；根据开源组件标记信息及开源组件状态生成软件物料清单，并对软件物料清单进行可视化展示。
[0005]为了解决上述问题，本专利技术还提供一种基于特征标记追踪技术的开源治理系统，该系统包括：标记信息提取模块，用于提取预先获取的开源组件包中的开源组件标记信息，其中，开源组件标记信息包括源头标记信息、哈希值标记信息及状态标记信息；信息成分检测模块，用于对开源组件标记信息进行成分检测，得到开源组件状态；清单可视化模块，用于根据开源组件标记信息及开源组件状态生成软件物料清单，并对软件物料清单进行可视化展示。
[0006]为了解决上述问题，本专利技术还提供一种电子设备，电子设备包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的计算机程序，计算机程序被至少一个处理器执行，以使至少一个处理器能够执行上述的基于特征标记追踪技术的开源治理方法。
[0007]本专利技术通过提取开源组件包中的开源组件标记信息，能够有效对开源组件包进行识别及标记，从而提高得到的开源组件标记信息的准确性，进一步加快计算机处理效率；通过对开源组件标记信息进行成分检测，能够准确得到开源组件状态，从而提高状态分析的
效率；通过开源组件标记信息及开源组件状态生成软件物料清单，能够提高开源组件包的管理效率并能够准确得到开源组件包对应的组件状态，避免恶意篡改；通过对软件物料清单进行可视化展示，能够更容易发现整个开发过程环节中开源组件包的问题，从而能够及时进行修正并提高了计算机工作的效率。因此本专利技术提出的基于特征标记追踪技术的开源治理方法、系统及电子设备，可以解决如何区分相同开源组件在不同场景下的来源、用途，对开源组件进行有效的识别和管理，从而提高开源组件区分的准确性及管理效率的问题。
附图说明
[0008]图1为本专利技术一实施例提供的基于特征标记追踪技术的开源治理方法的流程示意图；图2为本专利技术一实施例提供的提取预先获取的开源组件包中的开源组件标记信息的流程示意图；图3为本专利技术一实施例提供的利用预设的数据标记方法分别对组件来源、组件特征及组件状态进行标记，得到源头标记信息、哈希值标记信息及状态标记信息的流程示意图；图4为本专利技术一实施例提供的基于特征标记追踪技术的开源治理系统的功能模块图；图5为本专利技术一实施例提供的用于实现所述基于特征标记追踪技术的开源治理方法的电子设备的结构示意图。
[0009]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0010]应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0011]为解决现有技术中提供的基于特征标记追踪技术的开源治理方法所存在的如何区分相同开源组件在不同场景下的来源、用途，对开源组件进行有效的识别和管理，从而提高区分的准确性及管理效率的问题。本专利技术提供了一种基于特征标记追踪技术的开源治理方法，该方法通过提取开源组件包中的开源组件标记信息，对开源组件标记信息进行成分检测，得到开源组件状态，并根据开源组件标记信息及开源组件状态生成软件物料清单，对软件物料清单进行可视化展示，从而能够提高区分开源组件包的准确性以及提高开源组件包的管理效率。
[0012]参照图1所示，为本专利技术一实施例提供的基于特征标记追踪技术的开源治理方法的流程示意图。在本实施例中，基于特征标记追踪技术的开源治理方法包括：S1、提取预先获取的开源组件包中的开源组件标记信息，其中，开源组件标记信息包括源头标记信息、哈希值标记信息及状态标记信息。
[0013]在一个实施例中，开源组件包指的是通过企业收集开源组件的仓库中提取的组件包，其中，仓库指的是私有库，私有库中的开源组件包的来源包括远程中央仓库中拉取以及从开发人员的本地仓库中提交这两个来源。
[0014]请参阅图2所示，在一个实施例中，上述提取预先获取的开源组件包中的开源组件标记信息的步骤，包括：S21、获取开源组件包的组件来源及组件状态，对开源组件包进行特
征提取，得到组件特征；S22、利用预设的数据标记方法分别对组件来源、组件特征及组件状态进行标记，得到源头标记信息、哈希值标记信息及状态标记信息；S23、对源头标记信息、哈希值标记信息及状态标记信息进行汇总，得到开源组件标记信息。
[0015]在一个实施例中，数据标记方法分为三部分标识，分别是SOURCE、HASH和FLAG，其中，SOURCE代表源头即组件来源，就是哪个阶段生成的这个开源组件包，一般可以中央仓库、本地仓库或者其它环节的，比如直接提交开源组件包到代码构建平台的，虽然这种操作是不合规的，但不排除有这种意外操作的情况；HASH则是这个开源组件包的哈希特征值，代表的是开源组件的自身的特征即组件特征；FLAG则是指开源组件的状态即组件状态；数据标记的方法是通过在开源组件包的配置信息或者包内增加配置信息，将标记特征存进去，最终得到开源组件标记信息。
[0016]进一步地，比如中央库下载的开源组件包，开源组件包表示为centerjsodfuow2323h12l12f0，其中，center表示开源组件包对应的SOURCE，rjsodfuow2323h12l12f（组件的HASH的长度根据HASH算法的不同，长度是不一样的，这里只是随机举例）表示开源组件包对应的HASH，0表示开源组件包的FLAG未修改；当开源组件包组件出现漏洞时，又无法通过升本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于特征标记追踪技术的开源治理方法，其特征在于，所述方法包括：提取预先获取的开源组件包中的开源组件标记信息，其中，所述开源组件标记信息包括源头标记信息、哈希值标记信息及状态标记信息；对所述开源组件标记信息进行成分检测，得到开源组件状态；根据所述开源组件标记信息及所述开源组件状态生成软件物料清单，并对所述软件物料清单进行可视化展示。2.如权利要求1所述的基于特征标记追踪技术的开源治理方法，其特征在于，所述提取预先获取的开源组件包中的开源组件标记信息，包括：获取所述开源组件包的组件来源及组件状态，对所述开源组件包进行特征提取，得到组件特征；利用预设的数据标记方法分别对所述组件来源、所述组件特征及所述组件状态进行标记，得到源头标记信息、哈希值标记信息及状态标记信息；对所述源头标记信息、所述哈希值标记信息及所述状态标记信息进行汇总，得到开源组件标记信息。3.如权利要求2所述的基于特征标记追踪技术的开源治理方法，其特征在于，所述对所述开源组件包进行特征提取，得到组件特征，包括：对所述开源组件包进行三重卷积处理，得到卷积组件特征；对所述卷积组件特征进行平均池化处理，得到池化组件特征；对所述池化组件特征进行全连接处理，得到组件特征。4.如权利要求2所述的基于特征标记追踪技术的开源治理方法，其特征在于，所述利用预设的数据标记方法分别对所述组件来源、所述组件特征及所述组件状态进行标记，得到源头标记信息、哈希值标记信息及状态标记信息，包括：对所述组件来源进行源头排序，得到源头序列，并利用预设的数据标记方法对所述源头序列进行信息配置，得到源头配置信息；对所述源头配置信息及所述组件来源进行匹配及整合，得到源头标记信息；提取所述组件特征内的哈希特征值，并利用所述数据标记方法对所述哈希特征值进行特征标记，得到哈希值标记信息；利用所述数据标记方法对所述组件状态进行状态分类，得到状态标记信息。5.如权利要求4所述的基于特征标记追踪技术的开源治理方法，其特征在于，所述利用所述数据标记方法对所述组件状态进行状态分类，得到状态标记信息，包括：判断所述组件状态是否修改过；当所述组件状态未修改过时，利用所述数据标记方法将所述组件状态标记为第一状态标记信息，将所述第一状态标记信息作为状态标记信息；当所述组件状态修改过时，利用所述数据标记方法将所述组件状态标记为第...

【专利技术属性】
技术研发人员：汪杰，万振华，王颉，李华，董燕，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：