[发明专利]一种面向Java开源软件供应链的依赖关系分析及可视化方法

说明书

本发明公开了一种面向Java开源软件供应链的依赖关系分析及可视化方法，包括对软件包元数据集进行解析，获得所有软件包特征属性及依赖信息，使用软件包特征属性及依赖信息数据构建图数据库，根据需求利用图数据库解析软件包的依赖关系，包括直接依赖和间接依赖，得到软件包的依赖关系数据，等步骤，本发明基于图数据库的Java软件包依赖关系分析，相比Maven命令行解析，大大提高了依赖解析的灵活性和效率。其精简的库表设计及版本迭代算法的运用，进一步提升图数据库依赖解析的效率。通过多种不同的统计分析方案，全面系统地表现Java语言生态的软件包依赖关系全貌和特征。

技术领域

本发明涉及开源软件供应链安全领域，具体地说，一种面向Java开源软件供应链的依赖关系分析及可视化方法。

背景技术

随着软件行业的快速发展，软件结构、功能的复杂性不断增长，软件开发组件化、开源化已成为业界的主流形态，从而推动了开源软件供应链中第三方库的蓬勃发展。据统计，开源Java项目至少有45％的代码属于开源软件库,并且只有10％的项目没有使用开源库中的代码。开源软件供应链的日益复杂化和多样化，虽然大大减少了软件开发的成本和时间，但同时，针对软件供应链薄弱环节的网络攻击随之增加，软件供应链安全风险不断加剧，成为影响软件安全的关键因素之一。近年来，全球针对软件供应链的安全事件频发，影响巨大。例如2021年12月公开的Apache Log4j2漏洞和2022年3月公开的Spring Framework漏洞,因为利用难度低、危害性高、波及范围广,对整个Java生态和开源软件供应链的安全产生了巨大的影响。漏洞出现后，除了易于分析的直接影响以外，软件包之间的依赖所造成的供应链传递性影响也不容小觑。根据2021年开源软件供应链安全风险研究报告调查结果显示，受软件包依赖关系的影响，一级传播影响范围扩大125倍。而二级传播影响范围相比原始样本扩大173倍！开源软件供应链安全已然成为一个普遍且影响深远的全球性安全问题，重视并研究应对开源软件供应链安全刻不容缓。

由于现代软件依赖树的复杂性，理清开源软件包之间的依赖关系，将有助于有效阻止漏洞传播。目前，针对Java语言软件包依赖分析，主要基于Maven包管理工具，通过遍历Maven仓库或者使用Maven命令行解析软件包的依赖关系。这种方法虽然能解析出以单个软件包为根节点的依赖关系树，但无法从叶子节点逆向解析整个依赖关系树，对整个Java生态的依赖关系研究，存在不够灵活，效率低下等不足。同时，解析结果通常以文本数据集的方式显示，缺乏直观性和简洁性。

因此，需要提供一种方法，能够在Java语言生态依赖关系分析中克服上述问题。

发明内容

本发明的目的在于针对开源软件供应链安全问题，一种面向Java开源软件供应链的依赖关系分析及可视化方法，基于图数据库和设计算法，能够灵活高效地开展Java语言生态的依赖关系解析，并且利用Gephi软件，将解析结果清晰美观地可视化展示，有利于进一步的研究分析。

本发明的目的是通过以下技术方案来实现的：

本发明公开了一种面向Java开源软件供应链的依赖关系分析及可视化方法，其特征在于，包括以下步骤：

1)对软件包元数据集进行解析，获得所有软件包特征属性及依赖信息；

2)使用软件包特征属性及依赖信息数据构建图数据库；

3)根据需求利用图数据库解析软件包的依赖关系，包括直接依赖和间接依赖，得到软件包的依赖关系数据；

4)基于软件包的依赖关系数据，通过不同的统计分析方法，研究Java语言生态的软件包依赖关系全貌和特征；

5)使用绘图工具将包含软件包依赖关系全貌和特征的数据集进行可视化展示。

作为进一步地改进，本发明所述的步骤2)中使用软件包特征属性及依赖信息数据构建图数据库包括以下子步骤：