程序管控方法、程序管控装置、电子设备以及存储介质

技术领域

本公开涉及计算机技术领域，具体地涉及一种程序管控方法、程序管控装置、电子设备、计算机可读存储介质和计算机程序产品。

背景技术

随着互联网技术的飞速发展，软件程序的开发也进入了一个高速发展的时期。在软件开发的过程中，通常会引入一些其他的程序，从而减少开发程序的工作量。例如可以引入开源程序和一些免费的非开源程序。

在实现本公开构思的过程中，发明人发现：在开发程序的过程中，当前识别待分析程序的方式主要依赖于人工识别方式，而采用人工识别方式对引入了外部程序的待分析程序进行识别时，识别人需要对程序语言有一定的了解，导致学习成本较高。

发明内容

鉴于上述问题，本公开提供了一种程序管控方法、程序管控装置、电子设备、计算机可读存储介质和计算机程序产品。

根据本公开的第一个方面，提供了一种程序管控方法，包括：

利用第一程序成分分析工具对被提交的待分析程序进行分析，得到分析结果；

在上述分析结果表明上述待分析程序中包括开源程序的情况下，获取与上述开源程序对应的第一程序信息，上述第一程序信息包括开源信息；

将上述第一程序信息与上述第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，得到对比结果；

在上述对比结果表明上述第一知识库中不具有与上述开源信息匹配的开源软件标识的情况下，利用管理系统根据上述第一程序信息生成上述开源程序的引入信息；以及

将上述开源程序的引入信息和上述待分析程序关联存储至上述管理系统。

根据本公开的实施例，上述程序管控方法还包括：

在上述对比结果表明上述第一知识库中不具有与上述开源信息匹配的开源软件标识的情况下，利用上述管理系统根据上述第一程序信息生成上述开源程序的登记信息；

将上述登记信息存储至上述管理系统。

根据本公开的实施例，上述程序管控方法还包括：

在上述对比结果表明上述第一知识库中具有与上述开源信息匹配的开源软件标识且管理系统内存在与上述开源程序对应的引入信息的情况下，更新预先存储于上述管理系统内的与上述第一程序信息匹配的登记信息；

将更新后的登记信息存储至上述管理系统。

根据本公开的实施例，上述第一程序信息还包括以下至少一种：程序名称、程序信息摘要和安全漏洞信息；上述引入信息包括以下至少一种：程序名称、程序信息摘要、开源信息和安全漏洞信息。

根据本公开的实施例，上述第一程序信息包括上述安全漏洞信息；

上述程序管控方法还包括：

对上述安全漏洞信息进行安全检查，得到检查结果；在上述检查结果表明上述安全漏洞信息满足风险阈值的情况下，利用上述管理系统将上述待分析程序设定为不合规代码，并拒绝将上述不合规代码存储至上述管理系统。

根据本公开的实施例，上述程序管控方法还包括：

在上述分析结果表明上述待分析程序中包括非开源程序的情况下，获取与上述非开源程序对应的第二程序信息，上述第二程序信息包括非开源信息；

将第二程序成分分析工具的第二知识库中记录的非开源软件标识与上述第二程序信息进行对比，得到第二对比结果；

在上述第二对比结果表明上述第二知识库中不具有与上述非开源信息匹配的非开源软件标识的情况下，利用上述管理系统根据上述第二程序信息生成可疑清单。

根据本公开的实施例，上述程序管控方法还包括：

在上述第二对比结果表明上述第二知识库中具有与上述非开源程序匹配的非开源软件标识的情况下，更新与上述第二程序信息匹配的登记信息；

将更新后的登记信息存储至上述管理系统。

本公开的第二方面提供了一种程序管控装置，包括：

分析模块，用于利用第一程序成分分析工具对被提交的待分析程序进行分析，得到分析结果；

第一获取模块，用于在上述分析结果表明上述待分析程序中包括开源程序的情况下，获取与上述开源程序对应的第一程序信息，上述第一程序信息包括开源信息；

第一对比模块，用于将上述第一程序信息与上述第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，得到对比结果；

第一生成模块，用于在上述对比结果表明上述第一知识库中不具有与上述开源信息匹配的开源软件标识的情况下，利用管理系统根据上述第一程序信息生成上述开源程序的引入信息；以及

第一存储模块，用于将上述开源程序的引入信息和上述待分析程序关联存储至上述管理系统。

本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述程序管控方法。

本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述程序管控方法。

本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述程序管控方法。

根据本公开的实施例，在开发程序的过程中，将第一程序成分分析工具分析待分析程序后得到的开源信息与第一程序成分分析工具的第一知识库进行对比，在第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统生成开源程序的引入信息，并将该引入信息和待分析程序关联存储至管理系统，避免了人工进行待分析程序的分析导致的学习成本较高以及人工识别时准确性较差、效率较低的技术问题，从而降低了学习成本，提升了待分析程序的识别效率和识别准确性。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开实施例的程序管控方法的应用场景图；

图2示意性示出了根据本公开实施例的程序管控方法的流程图；

图3示意性示出了根据本公开实施例的程序管控方法的流程图；

图4示意性示出了根据本公开另一实施例的程序管控方法的流程示意图；

图5示意性示出了根据本公开实施例的程序管控方法的总体流程示意图；

图6示意性示出了根据本公开实施例的程序管控装置的结构框图；以及

图7示意性示出了根据本公开实施例的实现程序管控方法的电子设备的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

在程序的生命周期中，需要对提交的待分析程序中引用的外部程序进行识别以及建立相关的引入信息，例如根据引用的开源软件的开源信息建立该开源软件的引入信息，以实现对外部程序的管控。

然而在进行外部程序的识别时，通常采用人工进行识别的方式，然后根据识别后的外部程序人工建立其引入信息。人工识别待分析程序中的外部程序的方式不仅需要识别人对程序语言有一定的了解，导致学习成本较高，而且会导致识别效率较低、准确性较差的问题。

发明人发现可以利用第一程序成分分析工具对待分析程序进行识别，根据识别的外部程序利用管理系统自动生成对应的引入信息，从而可以避免人工识别方式造成的学习成本较高、识别效率较低以及准确性较差的问题。

有鉴于此，本公开的实施例提供了一种程序管控方法、程序管控装置、电子设备、计算机可读存储介质和计算机程序产品，通过利用第一程序成分分析工具对被提交的待分析程序进行分析，得到分析结果，在分析结果表明待分析程序中包括开源程序的情况下，获取与开源程序对应的第一程序信息；将第一程序信息与第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，得到对比结果；在对比结果表明第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统根据第一程序信息生成开源程序的引入信息；以及将开源程序的引入信息和待分析程序关联存储至管理系统。

需要说明的是，本公开确定的程序管控方法和程序管控装置可用于金融领域，例如银行等金融机构，也可用于除金融领域之外的任意领域，例如医院等其他领域，因此，本公开确定的程序管控方法和程序管控装置的应用领域不做限定。

图1示意性示出了根据本公开实施例的程序管控方法的应用场景图。

如图1所示，根据该实施例的应用场景100可以包括终端设备101、102、103，网络104和内设有管理系统的服务器105，其中，管理系统内可以集成有第一程序成分分析工具。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104将开发的待分析程序传输至服务器105中的管理系统内。终端设备101、102、103上可以安装有各种程序开发应用、通讯客户端应用等。

终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等。

服务器105可以是提供各种服务的服务器，例如对用户利用终端设备101、102、103所提交的待分析程序进行分析的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的待分析程序进行分析等处理，并将处理结果(例如根据用户提交的待分析程序生成的引入信息或登记信息等)反馈给终端设备。

需要说明的是，本公开实施例所提供的程序管控方法一般可以由服务器105执行。相应地，本公开实施例所提供的程序管控装置一般可以设置于服务器105中。本公开实施例所提供的程序管控方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地，本公开实施例所提供的程序管控装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

以下将基于图1描述的场景，通过图2～图5对公开实施例的程序管控方法进行详细描述。

图2示意性示出了根据本公开实施例的程序管控方法的流程图。

如图2所示，该实施例的程序管控方法可以包括操作S210～操作S250。

在操作S210，利用第一程序成分分析工具对被提交的待分析程序进行分析，得到分析结果。

在操作S220，在分析结果表明待分析程序中包括开源程序的情况下，获取与开源程序对应的第一程序信息，第一程序信息可以包括开源信息。

在操作S230，将第一程序信息与第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，得到对比结果。

在操作S240，在对比结果表明第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统根据第一程序信息生成开源程序的引入信息。

在操作S250，将开源程序的引入信息和待分析程序关联存储至管理系统。

根据本公开的实施例，第一程序成分分析工具可以是本领域技术人员公知的可以对待分析程序进行分析的工具，第一程序成分分析工具包括第一知识库，第一知识库中可以记录有多个开源信息的开源软件标识，其中，上述第一知识库中的开源软件标识可以从与第一知识库通信连接的服务器中进行实时更新。管理系统可以包括集成有第一程序成分分析工具的系统，例如可以包括SPMS管理系统以及Subversion(SVN)等其他系统，其中，SPMS管理系统是一种统一权限管理系统，能够实现对用户的远程授权，以及跨应用系统的授权管理，Subversion系统是一种开源的版本控制系统，其可以集成第一程序成分分析工具，以可以实现对待分析程序的识别和存储。

根据本公开的实施例，第一程序成分分析工具通过对待分析程序进行分析得到对应的第一程序信息，并将第一程序信息内的开源信息与第一程序成分分析工具内的第一知识库记录的开源软件标识进行对比，其中，第一知识库中记录有多个开源软件的开源软件标识。

根据本公开的实施例，在第一知识库中不存在与待分析程序中的开源匹配的开源软件标识的情况下，管理系统可以根据开源程序生成对应的引入信息，以使得管理系统将引入信息和对应于引入信息的待分析程序关联存储至管理系统，其中，可以存储于管理系统的数据库中，例如可以为Git仓库。

根据本公开的实施例，在开发程序的过程中，将第一程序成分分析工具分析待分析程序后得到的开源信息与第一程序成分分析工具的第一知识库进行对比，在第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统生成开源程序的引入信息，并将该引入信息和待分析程序关联存储至管理系统，避免了人工进行待分析程序的分析导致的学习成本较高以及人工识别时准确性较差、效率较低的技术问题，从而降低了学习成本，提升了待分析程序的识别效率和识别准确性。

发明人还发现，随着引入其他程序范围的扩大，对引入的其他程序提出了台账管理的要求，即管理要求中需要清晰记载引入其他程序的内容，而面对大量的引入的其他程序，如何准确识别引入的其他程序成为台账管理的难点。

同时，相关技术中在引用了外部程序，但该外部程序未进行登记的情况下，需要人工建立该外部程序的登记信息，或者该外部程序已登记的情况下，需要人工更新该外部程序的登记信息，费时费力。针对上述问题，发明人发现可以利用管理系统根据引用的外部程序自动生成登记信息，对于已登记的外部程序可以利用管理系统自动更新其登记信息。对于大量的引入程序，可以通过第一程序成分分析工具一级第二程序成分分析工具进行识别，以及利用管理系统进行登记。

有鉴于此，上述程序管控方法还可以包括如下操作。

在对比结果表明第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统根据第一程序信息生成开源程序的登记信息，将登记信息存储至管理系统。

根据本公开的实施例，由于第一程序成分分析工具的第一知识库存储的开源软件标识有限，因此在进行对比时第一知识库中未记录有待分析程序中开源程序的开源软件标识，可以利用管理系统建立第一知识库中未包含的开源程序的登记信息，以便于后续开发人员开发程序时使用该开源程序能够及时更新该开源程序的登记信息，从而建立开源程序的先登记后使用的门禁机制。

根据本公开的实施例，上述程序管控方法还可以包括如下操作。

在对比结果表明第一知识库中具有与开源信息匹配的开源软件标识且管理系统内存在与开源程序对应的引入信息的情况下，更新预先存储于管理系统内的与第一程序信息匹配的登记信息。将更新后的登记信息存储至管理系统。

根据本公开的实施例，在对比结果表明第一知识库中具有与开源信息匹配的开源软件标识的情况下，与管理系统内的引入信息进行匹配，在管理系统内不存在与该开源程序匹配的引入信息的情况下，利用管理系统根据第一程序信息生成开源程序的引入信息和登记信息，在管理系统内存在与该开源程序匹配的引入信息的情况下，更新该开源程序的引入信息和登记信息。

根据本公开的实施例，管理系统内预先存储有与第一知识库中开源软件标识对应的登记信息。在待分析程序中使用的开源程序属于第一知识库中记录的开源程序时，更新管理系统内与该开源程序对应的登记信息，达到了开源程序使用前先进行登记的目的，其中，更新登记信息的方式可以包括在登记信息的使用记录中记录当前待分析程序的开发信息或对使用次数进行次数的更新，开发信息可以包括与待分析程序对应的程序名称、开发人员信息、提交时间等。

根据本公开的实施例，第一程序信息还可以包括以下至少一种：程序名称、程序信息摘要和安全漏洞信息。引入信息可以包括以下至少一种：程序名称、程序信息摘要、开源信息和安全漏洞信息。

根据本公开的实施例，程序信息摘要可以包括但不限于MD5信息摘要(MD5Message-Digest 5)。开源信息可以包括但不限于开源协议名称和开源协议标识和开源程序简介等。

根据本公开的实施例，第一程序信息可以包括安全漏洞信息。

上述程序管控方法还可以包括如下操作。

对安全漏洞信息进行安全检查，得到检查结果；在检查结果表明安全漏洞信息满足风险阈值的情况下，利用管理系统将待分析程序设定为不合规代码，并拒绝将不合规代码存储至管理系统。

根据本公开的实施例，可以根据风险阈值的数值范围将安全漏洞划分为低风险漏洞、中风险漏洞和高风险漏洞，其中，具体的划分依据可以由开发人员设定。

根据本公开的实施例，对第一程序成分分析工具分析待分析程序得到的安全漏洞信息进行安全检查，在检查结果中表明该待分析程序的安全漏洞信息为高风险漏洞时，利用管理系统将该待分析程序设定为不合规代码，并拒绝将该待分析程序存储于管理系统中。

图3示意性示出了根据本公开实施例的程序管控方法的流程图。

如图3所示，上述程序管控方法还可以包括操作S310～S330。

在操作S310，在分析结果表明待分析程序中包括非开源程序的情况下，获取与非开源程序对应的第二程序信息，第二程序信息可以包括非开源信息。

在操作S320，将第二程序成分分析工具的第二知识库中记录的非开源软件标识与第二程序信息进行对比，得到第二对比结果。

在操作S330，在第二对比结果表明第二知识库中不具有与非开源信息匹配的非开源软件标识的情况下，利用管理系统根据第二程序信息生成可疑清单。

根据本公开的实施例，第二程序成分分析工具的第二知识库具有存储的功能，其存储有多个非开源程序的非开源软件标识，例如可以是开发人员在开发过程中，根据实际需求引用的非开源程序，并将该非开源程序的非开源软件标识存储至第二知识库中，同时，该开发过程包括但不限于现阶段的开发过程和历史阶段的开发过程。

根据本公开的实施例，第一程序成分分析工具对被提交的待分析程序进行分析时，不仅可以对待分析程序中的开源程序进行分析，还可以对非开源程序进行分析，例如可以将具有某些特定格式的代码设定为非开源程序，特定格式可以包括但不限于格式为jar的数据包。

根据本公开的实施例，利用第二程序成分分析工具的第二知识库与第一程序成分分析工具分析得到的非开源程序的第二程序信息进行对比。在第二程序成分分析工具进行对比时，可以对第二程序信息中的非开源信息与第二知识库中的多个非开源软件标识进行逐一对比匹配。在第二知识库中不具有与非开源信息匹配的非开源软件标识的情况下，利用管理系统根据该第二程序信息生成可疑清单，其中，可疑清单中可以包括多个不同的第二程序信息，多个不同的第二程序信息均未记录于第二程序成分分析工具的第二知识库中。

根据本公开的实施例，对于记录于可疑清单中的多个第二程序信息，利用管理系统将可疑清单中的第二程序信息推送至开发人员进行人工识别，以判断上述第二程序信息是否符合预设要求，其中预设要求可以包括安全漏洞的风险阈值或免费使用条件。

根据本公开的实施例，上述程序管控方法还可以包括如下操作。

在第二对比结果表明第二知识库中具有与非开源程序匹配的非开源软件标识的情况下，更新与第二程序信息匹配的登记信息。将更新后的登记信息存储至管理系统。

根据本公开的实施例，管理系统内预先存储有与第二知识库中非开源软件标识对应的登记信息。在待分析程序中使用的非开源程序属于第二知识库中记录的非开源程序时，更新管理系统内与该非开源程序对应的登记信息，并将该待分析程序存储于管理系统中，建立了非开源程序使用前先进行登记的门禁机制。

根据本公开的实施例，上述程序管控方法还可以包括如下操作。

在第二对比结果表明第二知识库中具有与非开源程序匹配的非开源软件标识的情况下，利用管理系统根据第二程序信息生成非开源程序的第二引入信息。将非开源程序的第二引入信息和待分析程序关联存储至管理系统。

图4示意性示出了根据本公开另一实施例的程序管控方法的流程示意图。

如图4所示，上述程序管控方法还可以包括如下操作。

向研发运维流水线提交待分析程序的程序提交申请。在确定提交了程序提交申请的情况下，利用管理系统将程序提交申请对应的被提交的待分析程序传输至第一程序成分分析工具，以使得第一程序成分分析工具对该待分析程序进行分析。

根据本公开的实施例，研发运维流水线可以包括基于Jenkins环境开发的DevOps集成/编译流水线。

根据本公开的实施例，利用TMS对Windows桌面软件进行识别，以获取相应的免费软件，其中，TMS是一种免费的开源的团队协作web工具，可以实现协作管理功能。从应用商店获取免费软件，以及从开发程序的生产环境中通过镜像扫描工具和系统软件识别工具识别免费软件。根据获取的免费软件生成软件清单，例如包括有开源软件标识的开源软件清单或包括有非开源软件标识的非开源软件清单，以使得上述程序管控方法中利用开源软件清单或非开源软件清单对待分析程序进行识别。

根据本公开的实施例，上述程序管控方法可以在程序开发过程中对增量程序进行实时管控，例如开发人员在第一预设时间间隔内提交的增量程序，也可以在第二预设时间间隔后对增量程序或全量程序进行统一的检查，其中，第一预设时间间隔可以包括一天，第二预设时间间隔可以包括一个月。

根据本公开的实施例，上述程序管控方法通过对开源软件和非开源软件的识别，对软件登记信息的更新以及相关安全漏洞信息的扫描，能够实现程序开发过程中及时对待分析程序进行台账管理和风险管控的目的。

图5示意性示出了根据本公开实施例的程序管控方法的总体流程示意图。

如图5所示，在开发人员向研发运维流水线提交待分析程序的程序提交申请后，第一程序成分分析工具获取该待分析程序。

在待分析程序中引入了开源程序的情况下，生成第一程序信息，第一程序信息包括开源信息。将第一程序信息与第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，在第一知识库中不具有与开源信息匹配的开源软件标识的情况下，即表明管理系统内没有引入信息，可以利用管理系统生成对应的引入信息，进而判断其是否具有登记信息。在第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统生成该开源程序的登记信息，在第一知识库中具有与开源信息匹配的开源软件标识的情况下，利用管理系统更新该开源程序的登记信息。

在待分析程序中引入了非开源程序的情况下，生成第二程序信息，第二程序信息包括非开源信息。将第二程序信息与第二程序成分分析工具的第二知识库中记录的非开源软件标识进行对比，在第二知识库中不具有与非开源信息匹配的非开源软件标识的情况下，即表明管理系统内没有该引入信息，可以利用管理系统生成对应的引入信息，进而判断其是否具有登记信息。在第二知识库中不具有与非开源信息匹配的非开源软件标识的情况下，利用管理系统生成该非开源程序的登记信息，在第二知识库中具有与开源信息匹配的开源软件标识的情况下，利用管理系统更新该非开源程序的登记信息。

将待分析程序、登记信息以及引入信息存储至管理系统的数据库中。

基于上述程序管控方法，本公开还提供了一种程序管控装置。以下将结合图6对该装置进行详细描述。

图6示意性示出了根据本公开实施例的程序管控装置的结构框图。

如图6所示，该实施例的程序管控装置600可以包括分析模块610、第一获取模块620、第一对比模块630、第一生成模块640和第一存储模块650。

分析模块610用于利用第一程序成分分析工具对被提交的待分析程序进行分析，得到分析结果。在一实施例中，分析模块610可以用于执行前文描述的操作S210，在此不再赘述。

第一获取模块620用于在分析结果表明待分析程序中包括开源程序的情况下，获取与开源程序对应的第一程序信息，第一程序信息可以包括开源信息。在一实施例中，第一获取模块620可以用于执行前文描述的操作S220，在此不再赘述。

第一对比模块630用于将第一程序信息与第一程序成分分析工具的第一知识库中记录的开源软件标识进行对比，得到对比结果。在一实施例中，第一对比模块630可以用于执行前文描述的操作S230，在此不再赘述。

第一生成模块640用于在对比结果表明第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统根据第一程序信息生成开源程序的引入信息。在一实施例中，第一生成模块640可以用于执行前文描述的操作S240，在此不再赘述。

第一存储模块650用于将开源程序的引入信息和待分析程序关联存储至管理系统。在一实施例中，第一存储模块650可以用于执行前文描述的操作S250，在此不再赘述。

根据本公开的实施例，该实施例的程序管控装置600还可以包括第二生成模块和第二存储模块。

第二生成模块用于在对比结果表明第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统根据第一程序信息生成开源程序的登记信息。

第二存储模块用于将登记信息存储至管理系统。

根据本公开的实施例，在开发程序的过程中，将第一程序成分分析工具分析待分析程序后得到的开源信息与第一程序成分分析工具的第一知识库进行对比，在第一知识库中不具有与开源信息匹配的开源软件标识的情况下，利用管理系统生成开源程序的引入信息，并将该引入信息和待分析程序关联存储至管理系统，避免了人工进行待分析程序的分析导致的学习成本较高以及人工识别时准确性较差、效率较低的技术问题，从而降低了学习成本，提升了待分析程序的识别效率和识别准确性。

根据本公开的实施例，该实施例的程序管控装置600还可以包括第一更新模块和第三存储模块。

第一更新模块用于在对比结果表明第一知识库中具有与开源信息匹配的开源软件标识的情况下，更新预先存储于管理系统内的与第一程序信息匹配的登记信息。

第三存储模块用于将更新后的登记信息存储至管理系统。

根据本公开的实施例，第一程序信息还可以包括以下至少一种：程序名称、程序信息摘要和安全漏洞信息。引入信息可以包括以下至少一种：程序名称、程序信息摘要、开源信息和安全漏洞信息。

根据本公开的实施例，该实施例的程序管控装置600还可以包括安全扫描模块。

安全扫描模块用于对安全漏洞信息进行安全检查，得到检查结果；在检查结果表明安全漏洞信息满足风险阈值的情况下，利用管理系统将待分析程序设定为不合规代码，并拒绝将不合规代码存储至管理系统。

根据本公开的实施例，该实施例的程序管控装置600还可以包括第二获取模块、第二对比模块和第三生成模块。

第二获取模块用于在分析结果表明待分析程序中包括非开源程序的情况下，获取与非开源程序对应的第二程序信息，第二程序信息可以包括非开源信息。

第二对比模块将第二程序成分分析工具的第二知识库中记录的非开源软件标识与第二程序信息进行对比，得到第二对比结果。

第三生成模块用于在第二对比结果表明第二知识库中不具有与非开源信息匹配的非开源软件标识的情况下，利用管理系统根据第二程序信息生成可疑清单。

根据本公开的实施例，该实施例的程序管控装置600还可以包括第二更新模块和第四存储模块。

第二更新模块用于在第二对比结果表明第二知识库中具有与非开源程序匹配的非开源软件标识的情况下，更新与第二程序信息匹配的登记信息。

第四存储模块用于将更新后的登记信息存储至管理系统。

根据本公开的实施例，分析模块610、第一获取模块620、第一对比模块630、第一生成模块640和第一存储模块650中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，分析模块610、第一获取模块620、第一对比模块630、第一生成模块640和第一存储模块650中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，分析模块610、第一获取模块620、第一对比模块630、第一生成模块640和第一存储模块650中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图7示意性示出了根据本公开实施例的适于实现程序管控方法的电子设备的方框图。

如图7所示，根据本公开实施例的电子设备700包括处理器701，其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 703中，存储有电子设备700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备700还可以包括输入/输出(I/O)接口705，输入/输出(I/O)接口705也连接至总线704。电子设备700还可以包括连接至I/O接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。

本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的物品推荐方法。

在该计算机程序被处理器701执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。

在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分709被下载和安装，和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java，C++，python，“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。