Google、オープンソースプロジェクトの依存性ダッシュボード「Open Source Insights」

末岡洋子
シェア

 Google(米Alphabet)は6月3日、オープンソースプロジェクトの依存性を理解するためのサービス「Open Source Insights」を実験公開した。このところ大きな問題となっているサプライチェーンセキュリティ問題の緩和を目指す。

 Open Source Insightsは、Google Cloudで構築・ホスティングされているサービスで、公開されているパッケージシステムとリポジトリをスキャンして得た情報などから作成した。開発者はこれを使って、インタラグティブなダッシュボードを使ってオープンソースパッケージの依存関係を把握できる。オーバービューとして、セキュリティアドバイザリ、ライセンスなどの情報やソースコードへのリンクもある。バージョンの比較、依存性のグラフなどの機能もある。

 現時点では、npm、Maven、Go、Cargoの4種類のパッケージシステムをサポートしている。今後、PyPI、NuGetなどもサポート予定だ。

 Googleによると、過去数年サプライチェーンセキュリティ問題の解決に取り組んでおり、依存性の管理が最も複雑かつ理解されていないと指摘している。Open Source Insightsを公開した理由として、Google Cloudなどの製品に様々な方法で統合しているが、依存性の可視化を通じて開発者の理解を促進することは意味があると判断した、と記している。

Open Source Insights
https://deps.dev