Google、オープンソースのモジュール依存関係を分かりやすくグラフ化してくれる「Open Source Insights Project」公開

2021年6月8日

Googleは、さまざまなオープンソースソフトウェアがどのような依存関係にあるかを一覧表示やグラフ化表示などで示してくれるWebサイト「Open Source Insights Project」を発表しました

現在のオープンソースソフトウェアのほとんどは、既存のさまざまなライブラリやモジュールを活用することで開発されています。

こうしたソフトウェアの再利用は、ソフトウェアの開発生産性を高めるうえで非常に重要な役割を果たしています。

その一方で、あるソフトウェアが数多くのライブラリやモジュールに依存して開発されている状態で、セキュリティ面での堅牢さを維持しようとする場合、依存するすべてのライブラリやモジュールのセキュリティについて目を配る必要があります。

一般に、あるソフトウェアがどのようなライブラリやモジュールのどのバージョンに依存しているかは、ソースコードをたどって調べていく必要があります。

また、ライブラリやモジュールはさらに別のライブラリやモジュールに依存していることもよくあるため、その先の依存関係までたどっていくことは手間のかかる作業となります。

Googleが発表した「Open Source Insights Project」は、こうしたオープンソースソフトウェアの依存関係を、一覧形式やグラフ形式で分かりやすく表示してくれるものです。これにより、オープンソースソフトウェアのセキュリティリスクなどの判断が容易になります。

Open Source Insights Projectの使い方は、トップページからソフトウェアの名前を入力するだけです。

fig

試しに「electron」と入力してみます。

すると「Overview」画面で依存関係にあるソフトウェアのライセンス一覧、どのような依存関係なのか、などが表示されます。

fig2

「Dependencies」タブをクリックすると、依存関係にあるソフトウェア名前とバージョンの一覧が表示されます。

fig3

右側にある「Graph」ボタンをクリックすると、依存関係がグラフ表示され、より直観的に依存関係が示されます。グラフはマウスで拡大縮小、位置の変更など、自由に操作できます。

fig4

Open Source Insights Projectは現在のところ、npm packages、Go modules、Maven artifacts、Carge cratesに対応しており、今後NuGet packagesとPypi packagesに対応予定とされています。

このエントリーをはてなブックマークに追加
follow us in feedly




カテゴリ

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本