CN117149839A - 一种面向开源软件供应链的跨生态软件检测方法及装置 - Google Patents

Abstract

本发明提供了一种面向开源软件供应链的跨生态软件检测方法及装置。其步骤包括：1)构建跨生态软件对齐种子集；2)抽使用图神经网络进行预训练嵌入；3)对软件节点的邻域子图进行采样；4)进行跨图邻域信息匹配；5)构建损失函数进行模型训练；6)计算邻域子图的相似度。本发明为了解决当前基于规则方法无法充分检测跨生态软件的问题，提出了基于图匹配神经网络的软件实体对齐方法，并通过该方法检测跨生态软件。本发明可以有效提升跨生态软件对匹配的准确度，促进跨生态软件库的发现，提升开发者在不熟悉的编程语言生态中查找目标软件库的效率。

Description

一种面向开源软件供应链的跨生态软件检测方法及装置

技术领域

本发明属于计算机技术领域，涉及一种面向开源软件供应链的跨生态软件检测方法及装置。

背景技术

对于现代软件开发来说，开发过程中不可避免地需要查找和利用开源软件供应链中的第三方库。开源软件供应链是一个业务系统在开发和运行过程中，涉及到的所有开源软件上游社区(Upstream)、源码包(Source Package)、二进制包(Binary)、包管理器(Package Manager)、存储仓库(Repository)，以及开发者(Developer)和维护者(Maintainer)、社区(Community)、基金会(Foundation)等，按照依赖、组合等形成的供应关系网络。引入一个成熟易用的第三方库不仅可以大大减少非必要的冗余开发，更能避免从头开发过程中出现各类难以排查的错误。然而，由于不同的第三方库使用不同编程语言实现，当开发人员希望使用一个其它编程语言实现的软件库时，不得不面临跨越不同生态间技术障碍的难题。为了促进软件库包的跨生态应用，部分维护人员开始为他们的库发布不同的软件生态版本，第三方开发者也为热门软件库开发了不同编程语言的API接口绑定库。这些工作使得各语言软件生态开始交织在一起形成一个复杂的、跨技术栈的跨生态系统。

为了帮助开发者快速找到满足需求的跨生态软件包，如何查找发现对应的跨生态软件包是一个很有意义的任务。目前，针对跨生态软件包的研究处于初级阶段，发现跨生态软件包通常基于规则方法。大部分针对跨生态包的相关研究利用GitHub、Gitee等存储仓库作为跨生态软件存在的主要证据，即通过检测来自不同生态的软件是否对应于同一存储仓库来判断它们是否为对应的跨生态软件。然而，并非所有的维护者都将跨生态软件的不同生态版本发布到同一存储库中，第三方开发者编写的跨生态绑定库也通常会使用独立的存储仓库。因此，应该依据匹配方法寻找更高召回率的跨生态软件发现方法，避免开发者无法找到期望的跨生态软件。

发明内容

针对上述当前使用规则方法无法充分检测跨生态软件的问题，本发明提出了一种面向开源软件供应链的跨生态软件检测方法，该方法基于图匹配神经网络的软件实体对齐，检测跨生态软件，从而有效提升跨生态软件对匹配的准确度，促进跨生态软件库的发现，提升开发者针对不熟悉的编程语言生态中查找目标软件库的效率。

为实现上述目的，本发明采用如下技术方案：

一种面向开源软件供应链的跨生态软件检测方法，包括：

生成待检测生态圈的软件图谱和目标生态圈的软件图谱；

获取待检测生态圈的软件图谱中任一软件节点e_i的邻域子图；

获取目标生态圈的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图；

基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果。

进一步地，所述获取目标生态的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图，包括：

构建训练数据集，所述训练数据集包括若干个不同生态圈的软件数据；

利用软件数据间存在的证据，构建跨生态软件的对齐种子数据集；

生成每一生态圈的软件数据对应的软件图谱样本；

构建跨图邻域信息匹配模型，并基于预训练嵌入训练损失O_E和跨图匹配训练损失Oc进行所述跨图邻域信息匹配模型的训练；其中，所述跨图邻域信息匹配模型用于：

基于注意力机制的图神经网络，计算每一软件图谱样本中软件节点的初始嵌入向量表示；

将对齐种子数据集中的软件节点作为中心节点，对其邻居节点进行采样，以构建该中心节点的邻域子图；

结合所述初始嵌入向量表示，进行邻域子图的跨图邻域信息更新，以得到软件图谱样本中软件节点的跨图嵌入向量表示；

聚合跨图嵌入向量表示，得到邻域子图的向量表示，并基于邻域子图的向量表示，计算任两个软件图谱样本中软件节点间的相似度；

基于训练后的跨图邻域信息匹配模型，得到目标生态的软件图谱中与所述软件节点ei的邻域子图相似度最高的TopK个邻域子图。

进一步地，所述证据包括：

共同的存储仓库；

或，

共同的主页地址、相同的开发者或发布组织、相同的软件名称、相同的描述文本中的任意两种。

进一步地，所述预训练嵌入训练损失 其中，S_e表示对齐种子数据集，S′_e代表通过负采样生成的非对齐软件对集合，e_i表示一软件图谱样本中的第i个软件节点，e_j表示另一软件图谱样本中的第j个软件节点，dist为距离评价函数，γ为间隔超参数。

进一步地，所述跨图匹配训练损失 其中，S_G表示跨生态软件的对齐邻域子图对集合，S′_G表示通过负采样生成的非对齐软件的邻域子图对集合，e_i表示一软件图谱样本中的第i个软件节点，e_j表示另一软件图谱样本中的第j个软件节点，dist为距离评价函数，γ为间隔超参数。

进一步地，所述基于注意力机制的图神经网络，计算每一软件图谱样本中软件节点的初始嵌入向量表示，包括：

计算软件节点e_i到其邻居节点e_j之间的注意力系数c_ij；

根据所述注意力系数c_ij，计算软件节点e_i与其邻居节点e_j的注意力权重a_ij；

基于所述注意力权重a_ij和邻居节点的嵌入向量表示，对该软件节点e_i的嵌入向量表示进行更新，以得到初始嵌入向量表示。

进一步地，所述结合所述初始嵌入向量表示，进行邻域子图的跨图邻域信息更新，以得到软件图谱样本中软件节点的跨图嵌入向量表示，包括：

计算软件节点e_i与另一邻域子图中软件节点e_j的注意力权重a_ij；

基于注意力权重a_ij，计算每一软件节点e_i与另一邻域子图中软件节点e_j的匹配向量/>其中，h_i表示软件节点e_i的初始嵌入向量表示，h_j表示软件节点e_j的初始嵌入向量表示；

基于所述匹配向量m_i聚合另一邻域子图中软件节点e_j的信息，以更新软件节点e_i的嵌入表示，得到软件图谱样本中软件节点的跨图嵌入向量表示。

进一步地，所述聚合跨图嵌入向量表示，得到邻域子图的向量表示，并基于邻域子图的向量表示，计算任两个软件图谱样本中软件节点间的相似度，包括：

使用Max Pooling聚合函数，对一邻域子图中的软件节点进行聚合，得到邻域子图/>的表征向量/>

通过使用L2距离计算表征向量和表征向量/>的相似度，得到邻域子图/>的中心节点e_i和邻域子图/>的中心节点e_j的相似度。

进一步地，所述基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果，包括：

判断软件节点e_i与所述TopK个邻域子图的中心节点e_j是否满足设定条件；其中，所述设定条件包括：

软件节点e_i与中心节点e_j的关键属性的属性值一致，所述关键属性包括：是否二进制包、编程语言和发布时间；

和，

软件节点e_i与中心节点e_j的相似度s(e_i,e_j)大于软件节点e_i与TopK个邻域子图中任一中心节点e′_j间的相似度s(e_i,e′_j)；

和，

软件节点e_i与中心节点e_j的相似度s(e_i,e_j)达到或超过指定阈值；

在任一中心节点e_j满足所述设定条件的情况下，判定软件节点e_i与该中心节点e_j为跨生态软件对。

一种面向开源软件供应链的跨生态软件检测装置，包括：

软件图谱生成模块，用于生成待检测生态圈的软件图谱和目标生态圈的软件图谱；

邻域子图生成模块，用于获取待检测生态圈的软件图谱中任一软件节点e_i的邻域子图；

相似度计算模块，用于获取目标生态圈的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图；

检测结果生成模块，用于基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果。

与现有技术相比，本发明至少具有以下技术优势：

1)可以有效避免信息缺失和噪音数据的干扰，提升跨生态软件对匹配的准确度。

2)可以促进跨生态软件库的发现，提升开发者针对不熟悉的编程语言生态中查找目标软件库的效率。

附图说明

图1是基于图匹配实体对齐模型的跨生态软件检测方法及装置流程图。

图2是图匹配实体对齐模型的结构示意图。

图3是邻域子图采样的示意图。

具体实施方式

下面结合附图，对本发明做进一步的说明。

本发明的跨生态软件检测方法，通过构建图匹配神经网络对开源软件供应链的大量软件进行实体对齐，实现从大量候选节点中自动检测及发现跨生态软件。该方法利用注意力机制计算软件节点子图的匹配程度，根据软件节点自身信息及关联对象信息进行查询，可以有效避免信息缺失和噪音数据的干扰，从而有效提高对齐的准确率，充分发现跨生态软件，同时提升开发者查找跨生态软件的效率。

具体来说，本发明的面向开源软件供应链的跨生态软件检测方法，其步骤包括：

一、构建跨生态软件对齐种子集。

基于图匹配神经网络的软件实体对齐算法为有监督的学习算法，高质量的训练数据是保证算法应用效果的必要条件。本方法利用软件数据间存在的明显证据，构建跨生态软件对齐种子数据用于训练模型和评估模型效果。此类证据包括①共同的存储仓库②共同的主页地址③相同的开发者或发布组织④相同的软件名称⑤相同的描述文本。当两个软件实体满足证据①或同时满足证据②、③、④、⑤中的任意两个时，将其作为对齐种子。使用KG1、KG2表示两个不同生态系统的软件图谱，e_i、e_j分别为KG1和KG2中的软件节点，对齐种子集可以表示为跨生态软件对的集合：

二、预训练节点嵌入向量。

图神经网络聚合邻居信息的能力，使目标节点能够从对齐种子数据之外的节点获取信息，这在对齐种子集相对稀缺的现实场景中显得尤为重要。嵌入时以实体的特征矩阵以及表示图结构信息的连接矩阵为输入，输出为图中个节点的嵌入表征向量，完整的编码器由L层引入注意力机制的图神经网络层GAT组合而成，第l层GAT定义为：

H^(l+1)＝σ(A^(l)H^(l)W^(l))

其中H^(l)和W^(l)分别代表第l层的隐状态和权重，将表示各节点初始特征的输入X作为H⁽⁰⁾并最终输出为H^(L)。σ表示非线性激活函数，是经注意力机制计算的连接矩阵。

在一个实施例中，该预训练节点嵌入向量包括以下步骤：

a)计算实体e_i到其邻居节点实体e_j之间的注意力系数c_ij，即：

其中h_i和h_j分别实体e_i、e_j的隐状态向量，LeakyReLU为非线性激活函数，q、W为可学习的参数，表示向量连接操作，上标T表示矩阵转置。

b)计算e_i与其邻居节点实体e_j的注意力权重a_ij，使用softmax函数对注意力系数进行归一化，使不同节点间的权重具有可比性。即：

其中表示软件节点e_i自身及其邻域节点共同构成的节点集合。通过聚合更新e_i表征向量的过程表示如下，具有较大注意力权重的邻居节点e_j将提供更多的信息：

此外，本方法使用多头注意力机制进一步提升注意力学习的效果，进行K次注意力计算并取其平均结果：

其中W为权重参数，σ为非线性激活函数，K为多头注意力中的注意力计算次数。

三、采样软件节点的邻域子图。

将对齐种子集中的软件节点作为中心节点，对其邻居节点进行采样构建邻域子图，通过邻域子图的相似度判断它们的中心节点是否指向同一客观软件对象。由于多数软件的一阶邻居数量不足，基于相似度采样多阶邻居节点。对于软件e_i采样邻域节点N_i表示e_i所有的邻域节点，e_j被采样的概率为：

其中W_s为权重参数，h_i和h_j分别表示中心节点e_i和邻居节点e_j的表征向量(该表征向量为步骤2预训练后所得的嵌入表示)，T表示向量转置。表示e_i所有指定阶数内的邻域节点，将对软件e_i进行采样获取的邻域子图分别记为/>即/>

四、进行跨图邻域信息匹配。

在执行跨图匹配时，中心软件节点e_i不仅聚集了它的邻域信息，还聚集了该节点和另一个图中所有结点对的相似性，其信息传递函数定义如下：

H″^(l+1)＝σ(M^(l)H″^(l)W″^(l))

其中H″^(l)到H″^(l+1)的过程表示了将原有的节点表征向量映射到新的节点表征向量，H″⁽⁰⁾为步骤2预训练后的嵌入表示。W″^(l)为可学习的权重参数矩阵，σ为非线性激活函数，M为两个子图中节点间匹配度的矩阵，表示该网络层在进行子图中节点间的信息聚合与更新时，使用了基于注意力机制计算的匹配向量。

在一个实施例中，对于匹配度矩阵M的计算，包括以下步骤：

a)计算实体e_i与子图中实体的注意力权重。

其中a_ij是注意力权重，表示了实体e_i与子图中任一实体的匹配程度。/>是软件实体e_j的邻居集合，h_i、h_j分别是节点/>和节点/>的嵌入向量。

b)计算实体e_i与子图中实体e_j的匹配向量。

m_i表示匹配向量，该向量度量了e_i和其在另一个邻域子图中最近的邻居间差异。

本方法中使用超参数β平衡实体原始信息和匹配信息的比重，则通过聚合邻域子图中节点信息更新e_i表征向量的过程表示如下：

其中表示向量连接操作，W为权重参数，σ为非线性激活函数。

五、构建用于训练优化的损失函数。

构建基于距离的损失函数，利用该损失函数在对软件节点进行嵌入时鼓励一对跨生态软件间的表征向量具有更小的距离，而不具备此关系的负样本软件对间具有更大的距离。针对预训练嵌入和跨图匹配分别设置损失函数O_E和Oc：

其中S_e表示代表跨生态软件的对齐实体对集合，S′_e代表通过负采样生成的非对齐软件对集合，S_G表示跨生态软件的对齐邻域子图对集合，S′_G表示通过负采样生成的非对齐软件的邻域子图对集合，dist为距离评价函数，γ为间隔超参数。为了在训练效率和模型效果间取得平衡，先利用O_E执行预训练嵌入使得实体表征向量可满足执行采样的要求，之后每执行50轮跨图匹配训练后执行一轮预训练嵌入训练，循环此过程直至完成训练。

在一个实施例中，利用目标函数对模型进行训练时，包括以下步骤：

a)使用最近邻采样获取负样本集合S′_e，给定一对跨生态软件正样本：

使用K表示负采样比例，本方法先从KG2中采样与e_j相似度分数S_score最高的K个软件实体e′_j，则任一e′_j与e_i构成一个负样本对(e_i,e′_j)；然后从KG1中采样与e_i相似度分数S_score最高的K个软件实体e′_i，则e′_i与e_j构成另一组负样本(e′_i,e_j)。通过此方法，每个跨生态软件对正样本会生成2*K个负样本：

S′_e＝{(e_i,e′_j)}∪{(e′_i,e_j)}

在计算两个实体节点的相似度分数时使用余弦相似度函数：

S_score＝cosine(e_i,e_j)

b)按上述步骤中相同的方法，根据预训练更新后的节点嵌入向量，重新生成节点负样本，并根据节点负样本生成子图负样本S′_G。给定跨生态软件节点正样本(e_i,e_j)，其对应的邻域子图形成子图正样本：

对应的子图负样本由节点负样本(e_i,e′_j)或(e′_i,e_j)的邻域子图形成：

六、计算邻域子图的相似度。

为了缓解软件图谱稀疏性对准确率带来的负面影响，计算邻域子图相似度，用邻域子图相似度替代软件节点的直接相似度。

s为使用距离评价函数dist函数计算获取的子图相似度。当生态KG1中的软件实体e_i与KG2中软件实体e_j满足如下3个条件时，判定实体e_i为跨生态软件且与e_j构成为跨生态软件对，否则判定e_i在生态KG1和KG2中为非跨生态软件：①e_i与e_j间不存在明显的属性冲突(指所有关键属性的属性值都一致，关键属性包括“否为二进制包”、“编程语言”、“发布时间”等)；②e_i与e_j的相似度s(e_i,e_j)大于e_i与KG2中任一其它软件实体e′_j间的相似度s(e_i,e′_j)；③相似度s(e_i,e_j)达到或超过指定阈值。

在一个实施例中，对于相似度s(e_i,e_j)的计算，包括以下步骤：

a)对子图和/>中实体节点进行聚合：

其中，和/>为两个邻域子图的表征向量，f_aggr为聚合其节点表征获取图表征的聚合函数。本方法中使用Max Pooling聚合函数，公式如下：

此处，max指逐元素取最大值，σ为非线性激活函数，W_pool和b为权重和偏置参数，h″_i为单个节点的特征向量，H″_i由子图中所有节点的特征向量组成。该聚合函数先使用单层线性神经网络对子图中的每个节点表示进行特征变换，然后对变换后的特征应用最大池化操作，使模型能够更有效的捕获各节点特征间的差异。

b)计算聚合向量的相似度：

取距离的负数作为向量间的相似度，表示当两个向量间距离较近时，它们的相似度较高。其中f_dist表示用于计算两个向量间相似度的距离函数，本方法中使用L2距离，对与任意两个向量v_i、v_j，其计算公式如下：

f_dist(v_i,v_j)＝||v_i-v_j||₂

下面特举实施例，并结合图1和图2，对本发明进一步地说明。

1)构建跨生态软件对齐种子集。跨生态对齐种子集可以表示为跨生态软件对(e_i、e_j)的集合，其中e_i、e_j分别为不同生态系统中的软件节点。本方法从PyPI、NPM、CPAN、Go、Hackage、NuGet、Packagist、Rubygems、Maven共9个不同的生态系统中获取软件节点。当不同生态中软件节点具有同一个GitHub或Gitee仓库邻居时，将其加入对齐种子候选数据集；当不同生态中软件节点满足共同主页地址、相同的开发者或发布组织、相同的软件名称、相同描述文本中的任意两个时，将其加入对齐种子候选数据集；从候选数据中，筛选出具有一对一关系的数据作为跨生态对齐种子集；从候选数据中，筛选出具有一对多或多对一关系的数据，人工标注其中的正确的对应关系加入对齐种子集。

2)预训练节点嵌入向量。完整的预训练编码器由L层GAT组合而成，第l层GAT定义为：H^(l+1)＝σ(A^(l)H^(l)W^(l))。本方法令L＝2，非线性激活函数σ使用relu函数，并以输入节点的名称与描述文本拼接后经词嵌入构建特征X初始化H⁽⁰⁾＝X，并将模型的最后一层隐状态H^(L)输出做为实体嵌入表征E＝H^(L)。基于目标函数O_E进行训练，距离评价函数dist选择使用L2距离，间隔超参数γ＝0.1。通过使用GAT进行预训练，获取的节点嵌入向量同时包含了节点自身信息及其邻居信息，满足后续邻域子图采样及跨图匹配中的相似度计算时对表征向量的质量要求。

3)采样软件节点的邻域子图。将对齐种子集中的软件节点作为中心节点，对其邻居节点进行采样构建邻域子图。如图3所示，本方法中对软件的所有一阶邻居和二阶邻居进行采样，采样的概率为p(h_s|h_i)，采样数num_s设置为10，当邻域软件总数小于num_s时执行重复采样。

4)进行跨图邻域信息匹配。邻域信息匹配表示为H″^(l+1)＝σ(M^(l)H″^(l)W″^(l)),，其中M表示了两个子图中节点间匹配度的矩阵。本方法中进行邻域信息匹配时令L＝1，即进行单层信息传递。此处非线性激活函数σ使用relu函数，以预训练嵌入获取的实体表征E初始化H″⁽⁰⁾，基于目标函数Oc进行训练，距离评价函数dist选择使用L2距离，间隔超参数γ＝0.1。

5)图匹配软件对齐模型训练。利用70％种子数据集对以上步骤所描述的模型进行训练并使用剩下的30％数据集进行验证。训练过程中使用Adams优化器，并设定初始学习率为0.01，先执行50轮预训练嵌入以获取中间嵌入E，接着执行邻域子图采样并执行跨图匹配训练300次，每间隔50轮跨图匹配训练后执行一轮预训练嵌入训练，得到最终训练完成的深度学习模型，使用PyTorch框架在GPU上执行训练过程。

6)基于模型预测跨生态软件。利用训练好的模型计算邻域子图相似度，判断一对软件是否构成跨生态软件对。对于某一生态软件图谱KG1中软件e_i的邻域子图，通过上述模型获取另一生态软件图谱KG2中与其相似度最高的TopK个软件邻域子图，这些子图的中心软件节点构成候选对齐集E_TopK。当Top1子图与e_i邻域子图的相似度低于阈值θ时，认为不存在与之对齐的跨生态软件。否则，当e_j∈E_TopK无明显冲突属性时，获取其中与e_i邻域子图相似度最高的软件e_{j_top}作为最终对齐结果，(e_{j_top},e_i)被认定为跨生态软件对。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，本发明的保护范围应以权利要求所述为准。

Claims (10)

1.一种面向开源软件供应链的跨生态软件检测方法，其特征在于，所述方法包括：

生成待检测生态圈的软件图谱和目标生态圈的软件图谱；

获取待检测生态圈的软件图谱中任一软件节点e_i的邻域子图；

获取目标生态圈的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图；

基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果。

2.如权利要求1所述的方法，其特征在于，所述获取目标生态的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图，包括：

构建训练数据集，所述训练数据集包括若干个不同生态圈的软件数据；

利用软件数据间存在的证据，构建跨生态软件的对齐种子数据集；

生成每一生态圈的软件数据对应的软件图谱样本；

构建跨图邻域信息匹配模型，并基于预训练嵌入训练损失O_E和跨图匹配训练损失Oc进行所述跨图邻域信息匹配模型的训练；其中，所述跨图邻域信息匹配模型用于：

基于注意力机制的图神经网络，计算每一软件图谱样本中软件节点的初始嵌入向量表示；

将对齐种子数据集中的软件节点作为中心节点，对其邻居节点进行采样，以构建该中心节点的邻域子图；

结合所述初始嵌入向量表示，进行邻域子图的跨图邻域信息更新，以得到软件图谱样本中软件节点的跨图嵌入向量表示；

聚合跨图嵌入向量表示，得到邻域子图的向量表示，并基于邻域子图的向量表示，计算任两个软件图谱样本中软件节点间的相似度；

基于训练后的跨图邻域信息匹配模型，得到目标生态的软件图谱中与所述软件节点ei的邻域子图相似度最高的TopK个邻域子图。

3.如权利要求2所述的方法，其特征在于，所述证据包括：

共同的存储仓库；

或，

共同的主页地址、相同的开发者或发布组织、相同的软件名称、相同的描述文本中的任意两种。

4.如权利要求2所述的方法，其特征在于，所述预训练嵌入训练损失 其中，S_e表示对齐种子数据集，S′_e代表通过负采样生成的非对齐软件对集合，e_i表示一软件图谱样本中的第i个软件节点，e_j表示另一软件图谱样本中的第j个软件节点，dist为距离评价函数，γ为间隔超参数。

5.如权利要求2所述的方法，其特征在于，所述跨图匹配训练损失 其中，S_G表示跨生态软件的对齐邻域子图对集合，S′_G表示通过负采样生成的非对齐软件的邻域子图对集合，e_i表示一软件图谱样本中的第i个软件节点，e_j表示另一软件图谱样本中的第j个软件节点，dist为距离评价函数，γ为间隔超参数。

6.如权利要求2所述的方法，其特征在于，所述基于注意力机制的图神经网络，计算每一软件图谱样本中软件节点的初始嵌入向量表示，包括：

计算软件节点e_i到其邻居节点e_j之间的注意力系数c_ij；

根据所述注意力系数c_ij，计算软件节点e_i与其邻居节点e_j的注意力权重a_ij；

基于所述注意力权重a_ij和邻居节点的嵌入向量表示，对该软件节点e_i的嵌入向量表示进行更新，以得到初始嵌入向量表示。

7.如权利要求2所述的方法，其特征在于，所述结合所述初始嵌入向量表示，进行邻域子图的跨图邻域信息更新，以得到软件图谱样本中软件节点的跨图嵌入向量表示，包括：

计算软件节点e_i与另一邻域子图中软件节点e_j的注意力权重a_ij；

基于注意力权重a_ij，计算每一软件节点e_i与另一邻域子图中软件节点e_j的匹配向量其中，h_i表示软件节点e_i的初始嵌入向量表示，h_j表示软件节点e_j的初始嵌入向量表示；

基于所述匹配向量m_i聚合另一邻域子图中软件节点e_j的信息，以更新软件节点e_i的嵌入表示，得到软件图谱样本中软件节点的跨图嵌入向量表示。

8.如权利要求2所述的方法，其特征在于，所述聚合跨图嵌入向量表示，得到邻域子图的向量表示，并基于邻域子图的向量表示，计算任两个软件图谱样本中软件节点间的相似度，包括：

使用Max Pooling聚合函数，对一邻域子图中的软件节点进行聚合，得到邻域子图/>的表征向量/>

通过使用L2距离计算表征向量和表征向量/>的相似度，得到邻域子图/>的中心节点e_i和邻域子图/>的中心节点e_j的相似度。

9.如权利要求1所述的方法，其特征在于，所述基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果，包括：

判断软件节点e_i与所述TopK个邻域子图的中心节点e_j是否满足设定条件；其中，所述设定条件包括：

软件节点e_i与中心节点e_j的关键属性的属性值一致，所述关键属性包括：是否二进制包、编程语言和发布时间；

和，

软件节点e_i与中心节点e_j的相似度s(e_i，e_j)大于软件节点e_i与TopK个邻域子图中任一中心节点e′_j间的相似度s(e_i，e′_j)；

和，

软件节点e_i与中心节点e_j的相似度s(e_i，e_j)达到或超过指定阈值；

在任一中心节点e_j满足所述设定条件的情况下，判定软件节点e_i与该中心节点e_j为跨生态软件对。

10.一种面向开源软件供应链的跨生态软件检测装置，其特征在于，所述装置包括：

软件图谱生成模块，用于生成待检测生态圈的软件图谱和目标生态圈的软件图谱；

邻域子图生成模块，用于获取待检测生态圈的软件图谱中任一软件节点e_i的邻域子图；

相似度计算模块，用于获取目标生态圈的软件图谱中与所述软件节点e_i的邻域子图相似度最高的TopK个邻域子图；

检测结果生成模块，用于基于所述TopK个邻域子图，得到所述软件节点e_i在目标生态圈中的跨生态软件检测结果。