(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211018278.2 (22)申请日 2022.08.24 (71)申请人 阳光保险集团股份有限公司 地址 518000 广东省深圳市福田区红荔西 路7002号第一世界广场A座17层 (72)发明人 陈炳印　王卓　尹琛　金龙　孙杨　 李胜军　李冰　曾岸林　邵长宏　 范文祥　周鹏辉　刘铸澎　邢凯　 赵美亮　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 曹延鹏 (51)Int.Cl. G06F 16/248(2019.01) G06F 16/2455(2019.01)G06F 16/957(2019.01) (54)发明名称 开源组件的分析方法和装置 (57)摘要 本发明提供了一种开源组件的分析方法和 装置。 其中， 该方法包括： 获取各个项目的开源组 件数据； 其中， 开源组件数据包括静态组件数据 和动态组件 数据； 将开源组件数据与预先设置的 样本库数据进行匹配， 得到匹配结果； 并且， 基于 匹配结果确定各个开源组件的风险等级信息； 展 示匹配结果和各个开源组件的风险等级信息。 该 方式中， 兼具静态扫描与动态扫描能力， 可以对 静态组件数据和动态组件数据均进行扫描分析； 还具有风险分析能力， 可以自动确定各个开源组 件的风险等级信息， 从而提高用户的体验感。 权利要求书2页 说明书8页 附图4页 CN 115374193 A 2022.11.22 CN 115374193 A 1.一种开源组件的分析 方法， 其特 征在于， 所述方法包括： 获取各个项目的开源组件数据； 其中， 所述开源组件数据包括静态组件数据和动态组 件数据； 将所述开源组件数据与预先设置的样本库数据进行匹配， 得到匹配结果； 并且， 基于所 述匹配结果确定各个所述 开源组件的风险等级信息； 展示所述匹配结果和各个所述 开源组件的风险等级信息 。 2.根据权利要求1所述的方法， 其特征在于， 获取各个项目的开源组件数据的步骤， 包 括： 通过预先设定的目标对外 接口获取 各个项目的开源组件数据。 3.根据权利要求1所述的方法， 其特征在于， 获取各个项目的开源组件数据的步骤， 包 括： 对各个项目的开源组件数据的静态代码进行解析， 得到各个所述项目的静态组件数 据； 对各个所述项目的开源组件数据的运行态的服务进行解析， 得到各个所述项目的动态 组件数据。 4.根据权利要求3所述的方法， 其特征在于， 对各个项目的开源组件数据的静态代码进 行解析， 得到各个所述项目的静态组件数据的步骤， 包括： 通过预先设置的脚本对指定项目的指定文件进行解析， 得到所述指定项目的系统特征 文件， 作为所述指定项目的静态组件数据。 5.根据权利要求3所述的方法， 其特征在于， 对各个所述项目的开源组件数据的运行态 的服务进行解析， 得到各个所述项目的动态组件数据的步骤， 包括： 从运行内存中读取对各个所述项目的开源组件数据的运行态的服务的开源组件信 息， 作为各个所述项目的动态组件数据。 6.根据权利要求1所述的方法， 其特征在于， 将所述开源组件数据与 预先设置的样本库 数据进行匹配， 得到匹配结果的步骤， 包括： 基于各个开源组件的名称和版本对将所述开源组件数据与预先设置的样本库数据进 行精确匹配， 得到精确匹配结果； 基于各个开源组件的名称或版本对将所述开源组件数据与所述样本库数据进行模糊 匹配， 得到模糊匹配结果； 基于所述精确匹配结果和所述模糊匹配结果确定最终的匹配结果。 7.根据权利要求1所述的方法， 其特征在于， 所述样本库 数据预先设置有各个所述开源 组件的开源组件的风险等级信息； 基于所述匹配结果确定各个所述开源组件的风险等级信 息的步骤， 包括： 基于所述匹配结果从所述样本库数据中查找各个所述开源组件的开源组件的风险等 级信息。 8.根据权利要求1所述的方法， 其特征在于， 展示所述匹配结果和各个所述开源组件的 风险等级信息的步骤， 包括： 通过网页展示平台所述匹配结果； 在所述网页平台 中标注所述 风险等级信息为高风险的所述 开源组件。权　利　要　求　书 1/2 页 2 CN 115374193 A 29.根据权利要求1所述的方法， 其特征在于， 基于所述匹配结果确定各个所述开源组件 的风险等级信息的步骤之后， 所述方法还 包括： 如果目标开源组件的所述风险等级信 息为高风险， 将所述目标开源组件的开源组件数 据发送至所述目标开源组件 对应的项目的项目负责人的终端设备中。 10.一种开源组件的分析装置， 其特 征在于， 所述装置包括： 数据获取模块， 用于获取各个项目的开源组件数据； 其中， 所述开源组件数据包括静态 组件数据和动态组件数据； 数据分析模块， 用于将所述开源组件数据与预先设置的样本库数据进行匹配， 得到匹 配结果； 并且， 基于所述匹配结果确定各个所述 开源组件的风险等级信息； 数据展示模块， 用于展示所述匹配结果和各个所述 开源组件的风险等级信息 。权　利　要　求　书 2/2 页 3 CN 115374193 A 3