针对 Python、Java、Go 的依赖树检测实现方案，包含漏洞扫描和依赖关系分析的核心代码与工具链

以下是针对 Python、Java、Go 的依赖树检测实现方案，包含漏洞扫描和依赖关系分析的核心代码与工具链：

1. Python 依赖树检测
   工具与技术栈

• 依赖解析：pipdeptree、poetry、importlib.metadata
• 漏洞库：OSV Database、PyPI Advisory DB
• 推荐工具：pip-audit、safety

代码实现

import json 
from pip._internal.metadata import get_environment
from packaging.requirements import Requirementdef build_python_dep_tree():env = get_environment([])dep_tree = {}for dist in env.iter_distributions():pkg = {"name": dist.metadata["Name"], "version": dist.metadata["Version"], "dependencies": []}requires = dist.metadata.get_all("Requires-Dist", [])for req in requires:req_obj = Requirement(req)pkg["dependencies"].append({"name": req_obj.name, "specifier": str(req_obj.specifier)})dep_tree[pkg["name"]] = pkg return dep_tree 示例输出
print(json.dumps(build_python_dep_tree(), indent=2))

漏洞检测

使用pip-audit扫描漏洞
pip install pip-audit 
pip-audit --format json 

2. Java 依赖树检测
   工具与技术栈

• 依赖解析：mvn dependency:tree、Gradle dependencies
• 漏洞库：NVD、OSS Index
• 推荐工具：OWASP Dependency-Check、Snyk

代码实现

// Maven项目生成依赖树 
mvn dependency:tree -DoutputFile=dependencies.txt// 解析依赖树文件示例（Python处理）
import xml.etree.ElementTree as ETdef parse_maven_dep_tree():tree = ET.parse("pom.xml")root = tree.getroot()deps = {}for dep in root.findall(".//{http://maven.apache.org/POM/4.0.0}dependency"):group = dep.find("groupId").text artifact = dep.find("artifactId").text version = dep.find("version").text deps[f"{group}:{artifact}"] = version return depsprint(parse_maven_dep_tree())

漏洞检测

使用OWASP工具 
dependency-check.sh --project "MyApp" --scan ./target

3. Go 依赖树检测
   工具与技术栈

• 依赖解析：go mod graph、go list -m all
• 漏洞库：Go Vuln DB、GitHub Advisory
• 推荐工具：govulncheck、grype

代码实现

生成JSON格式依赖树
go list -m -json all > go_deps.json 

import jsondef parse_go_dep_tree():with open("go_deps.json") as f:deps = [json.loads(line) for line in f if line.strip()]dep_tree = {}for dep in deps:dep_tree[dep["Path"]] = {"Version": dep.get("Version", ""), "Deps": dep.get("Deps", [])}return dep_treeprint(parse_go_dep_tree())

漏洞检测

使用官方工具
go install golang.org/x/vuln/cmd/govulncheck@latest
govulncheck ./...

4. 统一漏洞检测方案
   跨语言SBOM生成

使用Syft生成SBOM 
syft packages python:latest -o json > sbom.json 
syft packages maven:my-app -o cyclonedx 

通用漏洞扫描

使用Grype多语言扫描 
grype sbom:./sbom.json

5. 核心功能对比
   | 语言 | 依赖树工具 | 漏洞库 | 特殊挑战 |
   |--------|---------------------|----------------------|--------------------------|
   | Python | pipdeptree | OSV/PyPI Advisory | 动态导入/二进制包 |
   | Java | mvn dependency:tree | NVD/OSS Index | 嵌套依赖/Classpath冲突 |
   | Go | go mod graph | Go Vuln DB | 最小版本选择/替换指令 |

6. 高级功能实现
   依赖冲突检测（Python示例）

from collections import defaultdictdef detect_conflicts(dep_tree):version_map = defaultdict(set)for pkg, data in dep_tree.items():version_map[pkg].add(data["version"])return {k: v for k, v in version_map.items() if len(v) > 1}conflicts = detect_conflicts(build_python_dep_tree())
print(f"冲突包: {conflicts}")

依赖路径追踪（Java示例）

// Maven插件追踪依赖路径 
mvn dependency:tree -Dincludes=com.fasterxml.jackson.core:jackson-databind

7. 企业级方案建议

8. CI/CD集成：

   # GitHub Actions示例
   - name: Scan Python run: pip-audit -r requirements.txt --format sarif >> report.sarif
   - name: Scan Java uses: OWASP/dependency-check-action@v3 
   

9. 可视化方案：

   • Python：pipdeptree --graph-output dot | dot -Tpng > deptree.png
   • Java：mvn dependency:tree -DoutputType=dot > deptree.dot

如果需要扩展以下方向，可提供具体实现：

1. 多语言混合项目的依赖分析
2. 容器镜像中的依赖检测
3. 许可证合规性检查集成