[发明专利]基于开源软件配置文件检测及解析方法

说明书

本发明提供了一种基于开源软件配置文件检测的方法、解析方法、装置及存储介质，其中，方法包括：在获取到开源软件的待检测包时，扫描开源软件的待检测包中所有配置文件；对待检测包中所述所有配置文件进行检测；若待检测包与已检测包的所有配置文件存在差异，则解析待检测包存在差异的配置文件，生成差异化物料信息；根据差异化物料信息及已生成物料信息，生成待检测包的物料信息，所述已生成物料信息由解析已检测包的所有配置文件所生成。本发明对配置文件的检测次数进行判断，进而缩短检测时间，提高检测效率。

技术领域

本发明涉及计算机领域，尤其是指基于开源软件配置文件检测及解析方法。

背景技术

随着国内安全领域的重视程度不断提高，软件安全也进入了大家的视野，其中关于开源软件的成分分析相关产品也是不断出现，通过对开源软件的内容解析，获取当前开源软件的物料清单，掌握其相关的引用组件信息和相关漏洞信息。

目前常用的检测方式有以下几点，针对项目结果复杂度高（配置文件层级与个数多、组件个数多）的产品，再次检测时，会重复下载和构建信息。且项目再次检测时，如果包存在更新信息，会再次全包完整检测。用户无法通过整个包的扫描来了解之间的变化数据信息。

发明内容

本发明所要解决的技术问题是：开源软件配置文件进行成分检测时，存在重复检测，增加了检测时间的问题。

为了解决上述技术问题，本发明采用的技术方案为：本发明实施例第一方面提供一种基于开源软件配置文件检测的方法，包括：

在获取到开源软件的待检测包时，扫描开源软件的待检测包中所有配置文件；

对待检测包中所述所有配置文件进行检测；

若所述待检测包中所有配置文件为重复检测，则根据待检测包的名称查找出具有相同名称的已检测包的所有配置文件，并对待检测包的当前所有配置文件与已检测包的所有配置文件进行比较；

若待检测包与已检测包的所有配置文件存在差异，则解析待检测包存在差异的配置文件，生成差异化物料信息；

根据差异化物料信息及已生成物料信息，生成待检测包的物料信息，所述已生成物料信息由解析已检测包的所有配置文件所生成。

进一步的，所述并对待检测包的当前所有配置文件与已检测包的所有配置文件进行比较之后包括如下步骤：

查找已检测包的配置路径信息，比较相同目录下的配置文件是否一致；检测相同路径下配置文件的hash值或md5是否一致；

若hash值或md5相同，则当前配置文件未发生变化，不需要重新解析配置文件；

若hash值或md5不同，则当前配置文件发生变化，解析差异化配置文件，生成差异化物料信息。

进一步的，所述并对待检测包的当前所有配置文件与已检测包的所有配置文件进行比较之后还包括如下步骤：

查找已检测包的配置路径信息，比较相同目录下的配置文件是否一致；：

检测配置文件是否存在增量记录或者减量记录；

若出现增量的目录配置文件，则对新增配置文件进行解析，并新增到物料信息中；

若出现减量的目录配置文件，则对减少的配置文件所涉及的物料信息删除。

所述物料信息包括组件信息、许可信息及漏洞信息。

进一步的，所述扫描所述检测包中的所有配置文件之后，还包括如下步骤：

若所述配置文件是第一次检测，解析所述所有配置文件；根据解析所述所有配置文件生成物料信息。