本发明专利技术公开了一种软件物料清单构建方法
【技术实现步骤摘要】
一种软件物料清单构建方法、装置、设备及介质
[0001]本专利技术涉及软件工程
,尤其涉及一种软件物料清单构建方法
、
装置
、
设备及介质
。
技术介绍
[0002]现代软件系统的结构和功能日趋复杂,软件开发越来越呈现出模块化的趋势,使得开发实践中外部组件的使用频率和应用范围不断提升
。
当前软件开发实践的趋势导致了现代软件系统涉及的供应链展现出错综复杂和动态变化的特点
。
而缺乏对这些系统的组成和功能的系统可见性,极大地增加了网络安全风险,同时也增加了开发
、
采购和维护的成本
。
软件物料清单
(Software Bill of Materials,SBOM)
是正式的
、
机器可读的软件组件和依赖项清单,其中包含有关这些组件的信息及其层次关系
。
软件物料清单在供应链安全和漏洞管理上发挥着积极的作用,并以此影响和激励改善整个软件生态系统健康的良好实践
。
[0003]目前大多数软件物料清单构建工具都依靠对包管理器配置文件的解析来获取项目的外部依赖信息,但配置文件本身可能并不准确,最常见的问题是:开发者将外部组件直接打包在源代码中,未写进配置文件;或者开发者在项目更新过程中废弃了某个外部依赖项,但未将其从配置文件中移除
。
这些都影响软件物料清单构建的准确性
。
技术实现思路
[0004]本专利技术提供了一种软件物料清单构建方法
、
装置
、
设备及介质,以提高软件物料清单构建的准确性
。
[0005]根据本专利技术的一方面,提供了一种软件物料清单构建方法,该方法包括:
[0006]根据抽象语法树,确定外部组件依赖项集;其中,所述抽象语法树基于对项目源代码解析后得到;
[0007]根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树;
[0008]根据所述初始外部组件树中组件节点的节点权重,对所述初始外部组件树进行剪枝,得到目标外部组件树;
[0009]根据所述目标外部组件树和包管理器配置文件,构建软件物料清单
。
[0010]根据本专利技术的另一方面,提供了一种软件物料清单构建装置,该装置包括:
[0011]外部依赖项集确定模块,用于根据抽象语法树,确定外部组件依赖项集;其中,所述抽象语法树基于对项目源代码解析后得到;
[0012]初始外部组件树构建模块,用于根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树;
[0013]目标外部组件树确定模块,用于根据所述初始外部组件树中组件节点的节点权重,对所述初始外部组件树进行剪枝,得到目标外部组件树;
[0014]软件物料清单构建模块,用于根据所述目标外部组件树和包管理器配置文件,构
建软件物料清单
。
[0015]根据本专利技术的另一方面,提供了一种电子设备,所述电子设备包括:
[0016]至少一个处理器;以及
[0017]与所述至少一个处理器通信连接的存储器;其中,
[0018]所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的软件物料清单构建方法
。
[0019]根据本专利技术的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的软件物料清单构建方法
。
[0020]本专利技术实施例的技术方案,通过根据抽象语法树,确定外部组件依赖项集,之后根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树,进而根据所述初始外部组件树中组件节点的节点权重,对所述初始外部组件树进行剪枝,得到目标外部组件树,最后根据所述目标外部组件树和包管理器配置文件,构建软件物料清单
。
上述技术方案,通过解析项目源码构建软件物料清单,而不仅仅只依赖包管理器配置文件构建软件物料清单,提供了自动化构建软件物料清单的解决方案,拓展了软件物料清单自动化构建的适用范围
。
[0021]应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围
。
本专利技术的其它特征将通过以下的说明书而变得容易理解
。
附图说明
[0022]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图
。
[0023]图1是根据本专利技术实施例一提供的一种软件物料清单构建方法的流程图;
[0024]图2是根据本专利技术实施例二提供的一种软件物料清单构建方法的流程图;
[0025]图3是根据本专利技术实施例三提供的一种软件物料清单构建装置的结构示意图;
[0026]图4是实现本专利技术实施例的软件物料清单构建方法的电子设备的结构示意图
。
具体实施方式
[0027]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚
、
完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例
。
基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围
。
[0028]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序
。
应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或
描述的那些以外的顺序实施
。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程
、
方法
、
系统
、
产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程
、
方法
、
产品或设备固有的其它步骤或单元
。
[0029]此外,还需要说明的是,本专利技术的技术方案中,所涉及的项目源代码等等的收集
、
存储
、
使用
、
加工
、
传输
、
提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗
。
[0030]实施例一
[0031本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种软件物料清单构建方法,其特征在于,包括:根据抽象语法树,确定外部组件依赖项集;其中,所述抽象语法树基于对项目源代码解析后得到;根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树;根据所述初始外部组件树中组件节点的节点权重,对所述初始外部组件树进行剪枝,得到目标外部组件树;根据所述目标外部组件树和包管理器配置文件,构建软件物料清单
。2.
根据权利要求1所述的方法,其特征在于,所述根据抽象语法树,确定外部组件依赖项集,包括:从所述抽象语法树中提取导入信息和调用信息;根据所述导入信息和所述调用信息,确定外部组件依赖项集
。3.
根据权利要求2所述的方法,其特征在于,所述根据所述导入信息和所述调用信息,确定外部组件依赖项集,包括:根据所述导入信息,确定项目依赖项集;根据所述调用信息,确定内部依赖项集和原生依赖项集;从所述项目依赖项集中去除所述内部依赖项集和所述原生依赖项集,得到外部组件依赖项集
。4.
根据权利要求1所述的方法,其特征在于,所述根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树,包括:根据所述外部组件依赖项信息中组件名称信息,基于分隔符确定外部组件分支;根据所述外部组件分支,构建初始外部组件树
。5.
根据权利要求1所述的方法,其特征在于,所述根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树之后,还包括:根据所述初始外部组件树,从所述抽象语法树中确定所述初始外部组件树中组件节点的节点权重
。6.
根据权利要求1所述的方法,其特征在于,所述根据所述外部组件依赖项集中外部组件依赖项信息,构建初始外部组件树之后,还包括:根据所述初始外部组件...
【专利技术属性】
技术研发人员:孔祥龙,卓航毅,张帆,杜加玉,郭威,黄炜,
申请(专利权)人:网络通信与安全紫金山实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。