[发明专利]组件依赖信息的检测方法及装置

说明书

本发明提供了一种组件依赖信息的检测方法及装置，方法包括：应用正则表达式对预设文件进行解析，获取原始依赖信息；所述原始依赖信息包括：在所述预设文件记录中，组件间依赖关系。通过预设文件的数据结构的索引，获取真实依赖信息；所述真实依赖信息包括：在所述预设文件所在数据结构的索引指向中，组件间依赖关系。根据比对结果，应用真实依赖信息检测原始依赖信息。由此，通过数据结构的索引，从数据结构的层面，获取真实依赖信息，从而可以使用真实依赖信息来修正预设文件内的依赖信息，改变了信息的整体状态。如果使用本申请的技术方案进行检测，全面性较高；同时，准确度高，也不容易误检。

技术领域

本发明涉及信息检测技术领域，尤其涉及组件依赖信息的检测方法及装置。

背景技术

近些年来，在诸多软件开发的要求之中，重中之重的是，缩短软件开发的周期，而为了达到这一目的，就需要引入第三方组件。

随着软件安全意识的提高，第三方组件是否安全，是否具有问题也越来越受到关注，也逐渐越来越受到重视。而传统的组件检测方式中，有一部分是根据组件的哈希值进行安全比对，如果满足至少一个相同的目标哈希值匹配，则判定被测组件为有问题的。

然而，通过哈希值与已知危险组件库中的组件版本比对，容易漏检依然存在部分字段错误的组件。原因在于组件多属于开源的，在实际业务开发过程中，有可能会对代码二次加工后再引用，只要原始的组件的内容发生细微变更，其所对应的哈希值也相应会发生变化，如果直接用正则表达式进行解析，容易导致组件的漏检或误检。

发明内容

本发明所要解决的技术问题是：现有技术中所提供的组件检测方式的检测全面性与准确率较低。

为了解决上述技术问题，本发明采用的技术方案为：一种组件依赖信息的检测方法，包括：

应用正则表达式对预设文件进行解析，获取原始依赖信息；所述原始依赖信息包括：在所述预设文件记录中，组件间依赖关系；

通过所述预设文件的数据结构的索引，获取真实依赖信息；所述真实依赖信息包括：在所述预设文件所在数据结构的索引指向中，组件间依赖关系；

按照所述原始依赖信息与所述真实依赖信息的共有组件的标识，应用所述真实依赖信息比对所述原始依赖信息中的组件间依赖关系；

根据比对结果，应用所述真实依赖信息修正所述原始依赖信息中的组件间依赖关系。

其中，所述通过所述预设文件的数据结构的索引，获取真实依赖信息，包括：

根据所述预设文件的数据结构的索引，应用包管理的依赖关系正则表达式进行解析，生成所述真实依赖信息。

具体的，所述应用正则表达式对预设文件进行解析，获取原始依赖信息，包括：

通过正则表达式解析所述预设文件的内容，提取待检测依赖关系；

遵循所述待检测依赖关系，提取预设文件内的标识参数与待修正参数。所述预设文件内的组件名称属于所述原始依赖信息，且为所述原始依赖信息与所述真实依赖信息的共有组件的标识；所述待修正参数为所述原始依赖信息中的所述组件间依赖关系。

进一步地，所述共有组件的标识包括：组件名称，所述组件间依赖关系包括：组件版本；所述应用所述真实依赖信息比对所述原始依赖信息中的组件间依赖关系，包括：

遍历所述预设文件所在项目的组件，汇总所述预设文件内的组件名称与组件版本；

将所述预设文件内的组件名称与所述真实依赖信息中的组件名称进行匹配后，比对所述组件版本。

其中，所述应用所述真实依赖信息修正所述原始依赖信息中的组件间依赖关系，包括：

获取所述真实依赖信息中比对一致的组件名称；