本申請公開的實施例提供了一種混源軟件中開源成分檢測的方法和系統。其中，該方法包括：獲取目標混源軟件中的源碼文件，即獲取第一源碼文件，以及對所述第一源碼文件分類及執行相應的同源分析；其中，對于所述第一源碼文件中大小超過第一閾值的源碼文件，基于Simhash算法對其進行同源分析；對于所述第一源碼文件中大小不超過第一閾值的源碼文件，基于Minhash算法對其進行同源分析。較之現有技術，上述方案能夠均衡混源軟件開源成分檢測的效率需求和精確性間的矛盾，在保證檢測效率的前提下獲得可接受的開源成分檢測結果。

技術領域

本申請公開的實施例主要涉及開源治理相關技術領域以及具體涉及軟件成分分析（SCA）安全測試細分技術領域，且更具體地，涉及一種混源軟件中開源成分檢測的方法和系統。

背景技術

近年來，軟件開發中開源成分使用比例越來越高。開源成分的引入，能夠大大提高軟件開發的效率。如今，幾乎所有的軟件開發者實體都會選擇使用開源框架、開源庫、開源組件等，以簡化開發過程、縮短開發周期。然而引入開源成分，不免可能引入一些漏洞，造成安全問題，以及知識產權合規問題。特別是直接拷貝開源代碼文件復用或僅做簡單修改即引入，都不免因為開源內容被廣泛、頻繁地公開使用而成為攻擊者優先攻擊的目標。

目前，雖然已經有很多SCA工具支持開源成分的分析，但是這些工具大都是基于項目的特征文件來分析項目的開源成分，而基于代碼的開源成分分析則很少，主要是因為基于海量的開源代碼進行開源成分的分析難度大，檢測效率不能達到預期。

發明內容

根據本申請公開的實施例，提供了一種混源軟件中開源成分檢測的方法和系統，以實現代碼粒度的開源成分檢測，并且能夠在保證檢測效率的前提下取得在廣義的代碼粒度上的、可接受的開源成分檢測結果。

在本公開的第一方面中，提供了一種混源軟件中開源成分檢測的方法。該方法包括：獲取目標混源軟件中的源碼文件，作為第一源碼文件；根據所述第一源碼文件的大小分別對所述第一源碼文件執行相應的同源分析；其中，對于所述第一源碼文件中大小超過第一閾值的源碼文件，基于Simhash算法對其進行同源分析；而對于所述第一源碼文件中大小不超過第一閾值的源碼文件，基于Minhash算法對其進行同源分析；而具體地，上述的基于Simhash算法的同源分析，可以是包括：定義一個Simhash函數h₁，基于待檢測的大小超過第一閾值的第一源碼文件的代碼生成所述第一源碼文件的第一Simhash值，以及將所述第一Simhash值與指紋庫中的第二Simhash值逐一進行匹配分析，確定所述第一源碼文件是否與指紋庫中的第二Simhash值所對應的源碼文件同源；而上述的第二Simhash值，則是指根據源碼庫中的第二源碼文件的代碼基于Simhash函數h₁分別生成并存儲于指紋庫的Simhash值；上述的基于Minhash算法的同源分析，可以是包括：獲取源碼庫中的第三源碼文件；以及根據待檢測的大小不超過第一閾值的第一源碼文件和獲取的第三源碼文件的代碼，分別生成所述第一源碼文件、第三源碼文件對應的簽名集合，并據此構建所述簽名集合的特征矩陣；并且定義一個Minhash函數h₂，基于所述特征矩陣和Minhash函數h₂估算所述第一源碼文件與第三源碼文件的簽名集合間的Jaccard相似度，確定所述第一源碼文件是否與第三源碼文件中的某個或某幾個同源；其中，上述的源碼庫，是指收集源碼文件、并分類存儲所述收集的源碼文件而生成的源代碼倉庫；其中的第二源碼文件，是指源碼庫中大小超過第一閾值的源碼文件；第三源碼文件，是指源碼庫中大小不超過第一閾值的源碼文件；而同源分析涉及的Simhash函數h₁、Minhash函數h₂，則可以是指任一的Simhash函數、Minhash函數。