本申請(qǐng)實(shí)施例公開了一種開源軟件識(shí)別方法及裝置，用于提升識(shí)別效率。所述方法包括：獲取待識(shí)別的目標(biāo)代碼；將開源軟件特征庫中開源軟件的特征信息與目標(biāo)代碼進(jìn)行匹配，確定與所述目標(biāo)代碼匹配的目標(biāo)特征信息，所述特征信息包括如下至少一項(xiàng)：端點(diǎn)特征信息，分叉點(diǎn)特征信息，無效特征信息；所述端點(diǎn)特征信息包括所述開源軟件的初始版本對(duì)應(yīng)的文件信息和/或所述開源軟件的非初始版本相對(duì)于之前的版本新增的文件信息；所述分叉點(diǎn)特征信息包括所述開源軟件的非初始版本相對(duì)于之前的版本修改的文件信息；所述無效特征信息包括所述開源軟件從初始版本到當(dāng)前最新版本未修改過的文件信息；根據(jù)所述目標(biāo)特征信息確定所述目標(biāo)代碼對(duì)應(yīng)的開源軟件信息。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)應(yīng)用領(lǐng)域，尤其涉及一種開源軟件識(shí)別方法及裝置。

背景技術(shù)

開源軟件在云計(jì)算中已發(fā)揮越來越重要的作用，并成為云計(jì)算網(wǎng)絡(luò)安全的關(guān)鍵。精準(zhǔn)識(shí)別開源軟件及其版本是保證開源組件漏洞有效閉環(huán)的關(guān)鍵。業(yè)界目前已有成熟的網(wǎng)絡(luò)安全漏洞庫，這些開源軟件漏洞閉環(huán)的前提是能夠精準(zhǔn)識(shí)別產(chǎn)品代碼中使用了哪些開源軟件及其版本，但由于開源軟件的代碼開源、可修改、可分發(fā)等特點(diǎn)，導(dǎo)致開源軟件版本多、識(shí)別困難。

目前業(yè)界有主要采用文件比對(duì)技術(shù)來識(shí)別代碼中使用的開源軟件及其版本，文件比對(duì)的主要特點(diǎn)是盡可能搜集開源文件的哈希值、文件大小、文件目錄等屬性，進(jìn)行全量比對(duì)，即將搜集的所有開源文件信息與代碼進(jìn)行比對(duì)，根據(jù)比對(duì)結(jié)果識(shí)別出相似度最高的開源軟件及其版本。

由于開源軟件文件數(shù)量龐大，通過全量文件比對(duì)識(shí)別開源軟件會(huì)耗費(fèi)大量時(shí)間，效率較低。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供了一種開源軟件識(shí)別方法及裝置，用于快速識(shí)別產(chǎn)品代碼中所使用的開源軟件及其版本，提升識(shí)別效率。

有鑒于此，本申請(qǐng)第一方面提供了一種開源軟件識(shí)別方法，該方法包括：識(shí)別裝置獲取需要進(jìn)行開源軟件識(shí)別的目標(biāo)代碼，然后將開源軟件特征庫中的特征信息與目標(biāo)代碼進(jìn)行匹配，識(shí)別出與目標(biāo)代碼匹配的目標(biāo)特征信息，根據(jù)該目標(biāo)特征信息即可確定目標(biāo)代碼對(duì)應(yīng)的開源軟件信息；

其中，特征信息包括如下至少一項(xiàng)：端點(diǎn)特征信息，分叉點(diǎn)特征信息，無效特征信息；端點(diǎn)特征信息包括開源軟件的初始版本對(duì)應(yīng)的文件信息和/或開源軟件的非初始版本相對(duì)于之前的版本新增的文件信息；分叉點(diǎn)特征信息包括開源軟件的非初始版本相對(duì)于之前的版本修改的文件信息；無效特征信息包括開源軟件從初始版本到當(dāng)前最新版本未修改過的文件信息。

本實(shí)現(xiàn)方式中，識(shí)別裝置根據(jù)特征信息就可以識(shí)別出與目標(biāo)代碼所使用的開源軟件及其版本，不需要進(jìn)行全量的比對(duì)，提升了識(shí)別效率。

結(jié)合本申請(qǐng)第一方面，在本申請(qǐng)第一方面的第一種實(shí)現(xiàn)方式中，識(shí)別裝置可以通過如下方式確定目標(biāo)特征信息：識(shí)別裝置確定目標(biāo)代碼對(duì)應(yīng)的目標(biāo)文件信息，并獲取開源軟件特征庫中各個(gè)開源軟件的端點(diǎn)特征信息，然后判斷這些端點(diǎn)特征信息中是否存在于目標(biāo)文件信息匹配的目標(biāo)端點(diǎn)特征信息，若存在，則這些目標(biāo)端點(diǎn)特征信息就是與目標(biāo)代碼匹配的目標(biāo)特征信息；

對(duì)應(yīng)地，識(shí)別裝置可以通過如下方式確定目標(biāo)代碼對(duì)應(yīng)的開源軟件信息：將目標(biāo)端點(diǎn)特征信息所屬的開源軟件(第一開源軟件)的信息確定為目標(biāo)代碼對(duì)應(yīng)的開源軟件信息。

本實(shí)現(xiàn)方式中，識(shí)別裝置提供了一種識(shí)別開源軟件信息的方式，提高了方案的可實(shí)現(xiàn)性。

結(jié)合本申請(qǐng)第一方面的第一種實(shí)現(xiàn)方式，在本申請(qǐng)第一方面的第二種實(shí)現(xiàn)方式中，識(shí)別裝置確定目標(biāo)端點(diǎn)特征信息后，還可以執(zhí)行如下流程：識(shí)別裝置確定目標(biāo)端點(diǎn)特征信息中各個(gè)端點(diǎn)特征信息對(duì)應(yīng)的第一開源軟件的版本號(hào)，將這些版本號(hào)中的最高版本號(hào)確定為目標(biāo)版本號(hào)，然后獲取開源軟件特征庫中第一開源軟件的目標(biāo)版本號(hào)以及目標(biāo)版本號(hào)之后的版本號(hào)所對(duì)應(yīng)的分叉點(diǎn)特征信息，判斷這些分叉點(diǎn)特征信息中是否存在于目標(biāo)文件信息匹配的目標(biāo)分叉點(diǎn)特征信息，若存在，則這個(gè)目標(biāo)分叉點(diǎn)特征信息對(duì)應(yīng)的版本號(hào)就是目標(biāo)代碼對(duì)應(yīng)的開源軟件的版本號(hào)。