一种基于代码指纹的开源组件识别与漏洞检测方法

本发明公开了一种基于代码指纹的开源组件识别与漏洞检测方法，通过接收本地或远程代码，抽取差异文件，生成AST并构建代码属性图；对函数级子图计算SHA‑256哈希指纹与GNN语义指纹组成混合指纹，先用布隆过滤器精确匹配，再以最近邻完成语义匹配，并通过分布差异算法确定组件版本。随后将组件标识映射为PURL或SWID，查询OSV/NVD库获取CVE，结合CVSS、EPSS及依赖深度计算综合风险，输出符合CycloneDX或SPDX的SBOM和漏洞报告。本方法速度快、准确率高，可在持续集成中自动治理开源风险。