最も広く使われているFOSSパッケージ 40
ストーリー by headless
調査 部門より
調査 部門より
The Linux FoundationがLaboratory for Innovation Science at Harvardと共同で実施したフリー・オープンソースソフトウェア(FOSS)のセキュリティに関する調査報告書の暫定版「Preliminary Report and Census II of Open Source Software」を公開している(報告書: PDF、 The Registerの記事)。
The Linux Foundationは2014年、Heartbleed脆弱性の問題を受けてオープンソースプロジェクトを援助するCore Infrastructure Initiative(CII)を設立。2015年には調査プロジェクト(Census I)を実施して報告書を公開しており、今回のCensus IIはその第2弾となる。冒頭で「典型的なアプリケーションの80%~90%は(オープンソースの)コンポーネントでできている」というSonatypeによる2016年の報告書(PDF)からの引用を掲げている通り、セキュリティ上の問題点特定に活用するため、どのようなFOSSパッケージが幅広く使われているのかを特定することが主目的となっている。
報告書では付録として最も広く使われているFOSSパッケージ(JavaScript: 10、JavaScript以外: 10)がまとめられている。JavaScriptとそれ以外を分けたのは、使用したデータソースでJavaScriptが多くを占めており、どのようなランキングを作成しても使用したJavaScriptが上位を独占する状態になってしまうからだという。ただし、JavaScript以外のパッケージでも同じ問題があり、すべてがJavaのパッケージとなっている。
The Linux Foundationは2014年、Heartbleed脆弱性の問題を受けてオープンソースプロジェクトを援助するCore Infrastructure Initiative(CII)を設立。2015年には調査プロジェクト(Census I)を実施して報告書を公開しており、今回のCensus IIはその第2弾となる。冒頭で「典型的なアプリケーションの80%~90%は(オープンソースの)コンポーネントでできている」というSonatypeによる2016年の報告書(PDF)からの引用を掲げている通り、セキュリティ上の問題点特定に活用するため、どのようなFOSSパッケージが幅広く使われているのかを特定することが主目的となっている。
報告書では付録として最も広く使われているFOSSパッケージ(JavaScript: 10、JavaScript以外: 10)がまとめられている。JavaScriptとそれ以外を分けたのは、使用したデータソースでJavaScriptが多くを占めており、どのようなランキングを作成しても使用したJavaScriptが上位を独占する状態になってしまうからだという。ただし、JavaScript以外のパッケージでも同じ問題があり、すべてがJavaのパッケージとなっている。
最も広く使われているJavaScriptパッケージ、およびJavaScript以外のパッケージは以下の通り。なお、リストは人気順ではなくアルファベット順だ。
OSSアプリケーションではなくて、企業のアプリケーションで使われているパッケージ (スコア:1)
npm rank [github.com]と比べても、なんだか枯れきったパッケージが多いなあという印象だったんですが、データソースは以下のようなものらしいです。
The Census II effort benefited from the contribution of
private usage data by Software Composition Analysis
(SCAs) and application security companies, including
developer-first security company Snyk19 and Synopsys
Cybersecurity Research Center (CyRC)20, who partnered
with CII to advance the state of open source research.
These SCA partners provided data from automated
scans of production systems within their customers’
environments
Software Composition Analysis(SCAs)は依存関係しらべて脆弱性があったら教えてくれるようなヤツですね。
# 別スレッド荒れてるなぁ
JavaScriptのパッケージは骨董品ばかり? (スコア:0)
asyncもinheritsも、ES2015でPromiseやclassが導入される前にみんなが仕方なく使っていたライブラリですよね。
いやまあ今でも当時のソースがいろんなところで使われているのでしょうが、それを良く使われているパッケージと言われると、うーん。。。
TypeScriptとかReactはともかく、せめて一時代前でもBabelやjQueryが出てくるかと思っていた。
Re:JavaScriptのパッケージは骨董品ばかり? (スコア:2, 参考になる)
一度入れたJavaScriptライブラリは二度とアップデートされることはない
https://qiita.com/rana_kualu/items/09678f8a87216a7292eb [qiita.com]
わかりみ。
Re: (スコア:0)
依存関係弾き出すのが容易ではないので、変更の手間が大き過ぎててを出せないからじゃないですかね?
Re: (スコア:0)
一つ上げたら別のも上げないといけなくて、そのせいで別のも…みたいな感じで絶望的に絡み合ってるからなぁ。
Re:JavaScriptのパッケージは骨董品ばかり? (スコア:1)
一番使われているオープンソースソフトウェアはStackOverflow(からのコピペ)じゃないのか…
Re:JavaScriptのパッケージは骨董品ばかり? (スコア:1)
なるほど、日本でオープンソースソフトウェアの利用が普及しないのは
StackOverflowからコピペ出来るだけの英語力すらない人が多いからなのか…
Re: (スコア:0)
かたや英語力だけのがあまりにアホな質問乱発して、でっかいマイナス連発喰らってたな…
Re: (スコア:0)
真面目に公式ドキュメント読んでれば、StackOverflowのサンプルのほとんどは公式のコピペだということはわかるはず。
Re: (スコア:0)
孫依存関係とかのdevDependenciesがそのまま統計に入ってるのであれば、アプリケーションの直接の依存関係(ただのdependencies)と分けて見たり、
そもそもNode.jsなのか・ブラウザ向けなのかでどう変化するのかも気になりますね。lodashはどのみち入りそう。
# asyncは開発もアクティブですし、そこそこ現役なのでは。Bluebird的なPromiseの孫の手ライブラリ。
gcc (スコア:0)
gcc や g++はビルドバイナリに自身のバイナリの一部を含めるから、みんな使っていると思う。
clang/llvm を使っても 最終的には gcc/g++を使っているらしいの。
Re: (スコア:0)
正確には間違ってるけど、正しく説明するほど詳しくないから困っちゃうあれですね。
とりあえず「自身のバイナリの一部を含める」ではないんじゃない。GCC(GNU Compiler Collectionの方)で開発してるコードの一部は入ると思うけど、殆どはダイナミックリンクされるんじゃない?
まあそれでもGCCのコードを使ってることに違いはないけど。
Re: (スコア:0)
clang/llvm を使っても 最終的には gcc/g++を使っているらしいの。
そなの?
今時のFreeBSDにはgcc/g++入ってないけど?
置き換えた目的からしてそんなことにはなってないと思うのだが。
もうJavaScript使用禁止 (スコア:0)
にしましょうや。
VBに固執してる輩と同じ匂いを感じる。
この言語とそれを取り巻く環境は害悪でしかない。
Re: (スコア:0)
なんの理由で?
Re: (スコア:0)
経験上、JavaScriptを叩く奴はそもそもJavaScriptをよく知らない。
Re: (スコア:0)
こういう事じゃないの?
https://www.atmarkit.co.jp/news/analysis/200902/09/future.html [atmarkit.co.jp]
記事中の Eric S. Raymond 氏コメント(リンク)は何故か参照できないので、必要ならこちらを。
http://www.catb.org/esr/writings/taoup/html/plan9.html [catb.org]
Re: (スコア:0)
これだけ色々と問題点を指摘されて文句言われ続けても今でも盤石の地位を保ってるもんな
ソフトウェア界隈の「標準を握ったもん勝ち」を体現している言語だわ
Re: (スコア:0)
WebAssemblyあるからどっちでも。
javascript系って言う意味だとtypescript使ってみたらnew含んだgenericは腐ってるしcastがなんか不安だし微妙って言う感じはした
Re: (スコア:0)
newを含んだgeneric?
castが不安?
Re: (スコア:0)
俺も意味がわからんかった…
#3767769は詳しく説明しろ
Re:JavaScript使うの、 (スコア:1, オフトピック)
/.er(スラッシュドッター)は語感がいいし、たまにtypoで見かけてた
./er(ドットスラッシャー)も必殺技感が有ったけど、今の
SRADer(すらだー)は、植木等が歌ってる感じで気が抜ける
Re:JavaScript使うの、 (スコア:2)
大勢の他所様の目のあるところで緋色に赤く染めた毛織物を振り回すイメージで
「すらどーる」
Re: (スコア:0)
モデレート徹底していて良いと思う。
Re: (スコア:0)
わずか30分後にあっさり釣れてましたか
確かに#3767779のいう通りでした
Re: (スコア:0)
入れ食いだね。
Re: (スコア:0)
耐性0だからねwwww