本發明公開了一種基于Gitlab平臺的第三方依賴庫信息采集的方法，所述方法通過信息采集系統實現；所述系統包括：接收請求單元，用于監聽代碼倉庫事件，獲取事件信息和解析文件；解析單元，用于解析依賴文件信息，獲取第三方依賴庫信息；存儲單元，用于存儲項目依賴的第三方庫信息；所述方法包括監聽代碼倉庫事件、采集項目依賴信息文件、解析單元解析依賴文件，獲取第三方依賴庫信息以及存儲第三方依賴庫信息等步驟。本方法可以快速獲取所有項目的依賴庫信息，并能做到隨項目變化而更新，便于集中存儲管理和方便反查。

技術領域

本發明屬于IT與軟件開發技術領域，具體涉及一種基于Gitlab平臺的第三方依賴庫信息采集的方法。

背景技術

軟件開發過程中，第三方組件的使用越來越廣泛。隨著互聯網技術發展，以及微服務架構的廣泛應用。項目越來越多，項目的依賴信息都在各個項目中獨立維護、集中管理，獲取這些項目的依賴信息越來越難。一方面是項目多，人工收集信息費時費力。另一方面迭代快，依賴的項目變化快，維護成本高。例如當第三方依賴庫需要升級或者調整的時候，就需要知道哪些項目依賴了這個庫，反查的時候，效率很慢，需要逐個項目排查，費時費力。

又例如項目開發中，一般都存在依賴關系。假如項目A開發和運行依賴了項目B、C、D、N項目。并通過聲明文件聲明了依賴關系。當項目B、C、D、N項目中有任何一個項目出現了安全漏洞，都可能會導致項目A的安全問題。單個項目的依賴關系通過直接分析項目中的聲明文件就可以獲取，但是當項目有幾百個，開發語言有多種等等時，如何快速查詢項目依賴關系就顯得極為重要了。

發明內容

本發明針對現有技術的問題，提供一種可以快速解析獲取第三方依賴庫信息，包括庫標識，版本號等，并與項目信息關聯存儲實時更新第三方組件漏洞信息的基于Gitlab平臺的第三方依賴庫信息采集的方法。

為了實現上述發明目的，本發明的技術方案如下：

一種基于Gitlab平臺的第三方依賴庫信息采集的方法，所述方法通過信息采集系統實現；所述系統包括：

接收請求單元：用于監聽代碼倉庫事件，獲取事件信息和解析文件；

解析單元：用于解析依賴文件信息，獲取第三方依賴庫信息；

存儲單元：用于存儲項目依賴的第三方庫信息；

所述方法包括以下步驟：

1)接收請求單元監聽代碼倉庫事件,每個項目通過聲明文件聲明依賴關系；

2)采集項目依賴信息文件；

3)解析單元解析依賴文件，獲取第三方依賴庫信息；

4)存儲單元保存步驟3)獲取的第三方依賴庫信息。

所述通過監聽代碼倉庫事件當項目代碼變更時，及時獲取變更信息，保證項目依賴信息準確性。

進一步的，所述步驟1)中，在Gitlab平臺中管理的項目里面，配置Webhook，配置內容包括URL、Secret Token(秘鑰)和Trigger(觸發事件)；所述URL包含依賴的第三方組件信息的文件的路徑和項目信息；所述項目信息包括項目唯一標示；所述觸發事件包括Pushevents、Pipeline events、Merge Request events中的一個或多個。

進一步的，所述步驟2)中，當開發人員觸發Gitlab代碼倉庫的監聽事件時，觸發WebHook接口，接收請求單元獲取請求中的信息，獲取接口傳遞的參數；所述參數包括項目編碼、項目依賴文件位置信息、開發語言。

進一步的，所述項目編碼為唯一標示。

進一步的，所述步驟3)中，將解析項目的依賴文件轉化為結構化信息，獲取項目依賴的第三方依賴庫的唯一標示信息。