Google dévoile un outil pour visualiser les dépendances open source d’un applicatif

Google a dévoilé Open Source Insights, un outil de visualisation développé pour ses propres besoins et permettant d’avoir une vue d’ensemble des dépendances open source d’un paquet applicatif. La solution doit répondre à la complexité des applications actuelles, qui réutilisent quantité de briques open source. Google fait le constat que cet enchevêtrement de composants tiers évolutifs est parfois difficile à maîtriser, et qu’il peut avoir des conséquences sur le fonctionnement, les licences, voire la sécurité des applications.

Selon Google, l’outil Open Source Insights doit compléter des techniques existantes (scan des vulnérabilités, audit des dépendances) en offrant une vue d’ensemble des éléments dont un package applicatif dépend et de ce que cela implique. La solution comprend un outil interactif permettant de visualiser et d’analyser le graph de dépendances d’une application. Elle offre aussi un outil comparatif pour comprendre l’impact d’une nouvelle version d’un paquet sur les dépendances (licences, sécurité), avant de décider de l’installer.

Pour réunir les informations alimentant le graph, Open Source Insights scanne des millions de projets open source en continu, sur lesquels elle collecte diverses données: paquets, licences, propriété, problèmes de sécurité, popularité, scorecard OpenSSF, etc.

Open Source Insights ne nécessite pas d’installation et fonctionne pour l’instant avec les gestionnaires de paquets npm, Maven, Go modules et Cargo, et bientôt avec NuGet et PyPi.