Google、「Open Source Insights Project」公開 OSSのモジュール依存関係をグラフで表示

[新野淳一，ITmedia]

この記事は新野淳一氏のブログ「Publickey」に掲載された「Google、オープンソースのモジュール依存関係を分かりやすくグラフ化してくれる「Open Source Insights Project」公開」（2021年6月8日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。

　Googleは、さまざまなオープンソースソフトウェアがどのような依存関係にあるかを一覧表示やグラフ化表示などで示してくれるWebサイト「Source Insights Project」を発表しました。

　現在のオープンソースソフトウェアのほとんどは、既存のさまざまなライブラリやモジュールを活用することで開発されています。

　こうしたソフトウェアの再利用は、ソフトウェアの開発生産性を高めるうえで非常に重要な役割を果たしています。

　その一方で、あるソフトウェアが数多くのライブラリやモジュールに依存して開発されている状態で、セキュリティ面での堅牢さを維持しようとする場合、依存するすべてのライブラリやモジュールのセキュリティについて目を配る必要があります。

　一般に、あるソフトウェアがどのようなライブラリやモジュールのどのバージョンに依存しているかは、ソースコードをたどって調べていく必要があります。

　また、ライブラリやモジュールはさらに別のライブラリやモジュールに依存していることもよくあるため、その先の依存関係までたどっていくことは手間のかかる作業となります。

　Googleが発表した「Open Source Insights Project」は、こうしたオープンソースソフトウェアの依存関係を、一覧形式やグラフ形式で分かりやすく表示してくれるものです。これにより、オープンソースソフトウェアのセキュリティリスクなどの判断が容易になります。

　Open Source Insights Projectの使い方は、トップページからソフトウェアの名前を入力するだけです。

　試しに「electron」と入力してみます。

　すると「Overview」画面で依存関係にあるソフトウェアのライセンス一覧、どのような依存関係なのか、などが表示されます。

　「Dependencies」タブをクリックすると、依存関係にあるソフトウェア名前とバージョンの一覧が表示されます。

　右側にある「Graph」ボタンをクリックすると、依存関係がグラフ表示され、より直観的に依存関係が示されます。グラフはマウスで拡大縮小、位置の変更など、自由に操作できます。

　Open Source Insights Projectは現在のところ、npm packages、Go modules、Maven artifacts、Carge cratesに対応しており、今後NuGet packagesとPypi packagesに対応予定とされています。