Das Unternehmen Google hat einen neuen Service namens Open Source Insights (deps.dev) eingeführt, der das vollständige Diagramm direkter und indirekter Abhängigkeiten für Pakete, die über die Repositories NPM, Go, Maven und Cargo verteilt werden, visualisiert (demnächst wird auch Unterstützung für NuGet und PyPI hinzukommen). Der Hauptzweck des Dienstes besteht darin, die Verbreitung von Sicherheitsanfälligkeiten in Modulen und Bibliotheken, die in der Abhängigkeitshierarchie enthalten sind, zu analysieren, was hilfreich sein kann, um Sicherheitsanfälligkeiten in tief verschachtelten Abhängigkeiten (Abhängigkeiten von Abhängigkeiten) zu erkennen.
Zu den möglichen Anwendungsbereichen gehört auch die Untersuchung der Lizenzreinheit eines Projekts (es wird angezeigt, welche Lizenzen in den Abhängigkeiten verwendet werden), die Nachverfolgung der Veröffentlichung neuer Versionen und Ereignisse, die mit Abhängigkeiten verbunden sind (z. B. die Entdeckung von Sicherheitsanfälligkeiten), sowie die Bewertung abhängiger Projekte (es kann ein Bericht eingesehen werden, der zeigt, welche Projekte die angegebene Bibliothek direkt oder über andere Abhängigkeiten verwenden). Als Datenquellen werden Paket-Repositories und Daten von GitHub, einschließlich Issues, genutzt.

Quelle: opennet.ru
