Google、オープンソースのモジュール依存関係を分かりやすくグラフ化してくれる「Open Source Insights Project」公開

Googleは、さまざまなオープンソースソフトウェアがどのような依存関係にあるかを一覧表示やグラフ化表示などで示してくれるWebサイト「Open Source Insights Project」を発表しました。

Introducing Open Source Insights!

This exploratory visualization site provides an interactive view of the dependencies of open source projects, and so much more.

See the benefits ↓ https://t.co/CgXUMCeTaZ

— Google Open Source (@GoogleOSS) June 3, 2021

現在のオープンソースソフトウェアのほとんどは、既存のさまざまなライブラリやモジュールを活用することで開発されています。

こうしたソフトウェアの再利用は、ソフトウェアの開発生産性を高めるうえで非常に重要な役割を果たしています。

その一方で、あるソフトウェアが数多くのライブラリやモジュールに依存して開発されている状態で、セキュリティ面での堅牢さを維持しようとする場合、依存するすべてのライブラリやモジュールのセキュリティについて目を配る必要があります。

一般に、あるソフトウェアがどのようなライブラリやモジュールのどのバージョンに依存しているかは、ソースコードをたどって調べていく必要があります。

また、ライブラリやモジュールはさらに別のライブラリやモジュールに依存していることもよくあるため、その先の依存関係までたどっていくことは手間のかかる作業となります。

Googleが発表した「Open Source Insights Project」は、こうしたオープンソースソフトウェアの依存関係を、一覧形式やグラフ形式で分かりやすく表示してくれるものです。これにより、オープンソースソフトウェアのセキュリティリスクなどの判断が容易になります。

Open Source Insights Projectの使い方は、トップページからソフトウェアの名前を入力するだけです。

試しに「electron」と入力してみます。

すると「Overview」画面で依存関係にあるソフトウェアのライセンス一覧、どのような依存関係なのか、などが表示されます。

「Dependencies」タブをクリックすると、依存関係にあるソフトウェア名前とバージョンの一覧が表示されます。

右側にある「Graph」ボタンをクリックすると、依存関係がグラフ表示され、より直観的に依存関係が示されます。グラフはマウスで拡大縮小、位置の変更など、自由に操作できます。

Open Source Insights Projectは現在のところ、npm packages、Go modules、Maven artifacts、Carge cratesに対応しており、今後NuGet packagesとPypi packagesに対応予定とされています。