企業アプリケーションで最も広く使われているnpmパッケージとは？ Linux Foundationとハーバード大学が調査：FOSSの利活用動向と、セキュリティ上の課題を明らかに

Linux Foundationはハーバード大学イノベーションサイエンス研究所と共同で「Census III of Free and Open Source Software – Application Libraries」を発表した。1万社以上の企業で利用される1200万以上のFOSS活用データに基づき、FOSSの活用動向やセキュリティの課題を明らかにしている。

[＠IT]

　Linux Foundationは2024年12月4日（米国時間）、ハーバード大学イノベーションサイエンス研究所（LISH）と共同で「Census III of Free and Open Source Software – Application Libraries」（以後、Census III）を発表した。

　同調査は、フリーオープンソースソフトウェア（FOSS）の活用動向をまとめたものであり、「Census I」「Census II」に続く3回目の調査。1万社以上の企業における本番稼働アプリケーションで利用されている1200万以上のFOSS活用データに基づき、オープンソースエコシステムのトレンドを明らかにしている。

　「ハーバード大学およびBlack Duck、FOSSA、Snyk、Sonatypeなどの主要なソフトウェア構成分析（SCA）組織と連携して調査している。この共同調査の目的は、FOSSエコシステムにおけるセキュリティ上の課題をより深く理解することにある」と、Linux Foundationは述べている。

　Census IIIのハイライトは以下の通り。

最も人気のnpmパッケージとは？　Census IIIのハイライト

クラウドサービスに特化したパッケージ利用増

　クラウドサービスに特化したパッケージの利用が増加しており、Census IIでランクインしなかったコンポーネントが上位に位置している。

Python 2からPython 3への移行

　Python 2からPython 3への移行は依然として進行段階にあり、互換性がない新しいバージョンのソフトウェアへの移行の課題を示唆している。

Maven、NuGet、Pythonパッケージの利用増

　Mavenパッケージは引き続き広く使用されており、NuGetおよびPythonパッケージの利用も増加している。

Rustコンポーネントの利用増

　Rustのパッケージリポジトリからのコンポーネント利用が、Census II以降大幅に増加している。メモリ安全性の脆弱（ぜいじゃく）性の課題に対する、業界の対応を示唆している。

ソフトウェアコンポーネントの命名スキーマの標準化が重要に

　ソフトウェアの脆弱性管理に関する課題を解決し、ソフトウェアサプライチェーンセキュリティ向上に取り組むため、ソフトウェアコンポーネントの命名スキーマを標準化する取り組みがますます重要になりつつある。

個人がトッププロジェクトを管理

　npm以外のトップ50プロジェクトのうち、17％は個人開発者により管理されている。開発者が1〜2人でコミットの80％以上を占めているプロジェクトは4割を占めた。

個人がトップパッケージをホスティング

　トップパッケージの多くが個人開発者のアカウントでホストされており、これらのアカウントは組織アカウントに比べて保護や管理の細分化が不足しているケースが多い。

レガシーソフトウェアの存在

　オープンソース分野ではレガシーソフトウェアが依然として存在している。これらのセキュリティは代替パッケージの存在と同様に重要だ。

npmで最も使用されているパッケージ

　npmパッケージのうち、直接使用のみ、バージョン非依存で最も使用されているのは「react-dom」だった。

npmで広く使用されているFOSSパッケージ　1〜20位（提供：Linux Foundation）

npm以外で最も使用されているパッケージ

　npm以外のパッケージのうち、直接使用、バージョン非依存で最も使用されているのはMavenパッケージの「org.springframework.boot:spring-boot-starter-web」だった。

Goで最も使用されているパッケージ

　npm以外のパッケージで、直接／間接使用、バージョン非依存の場合、最も使用されているのはGoパッケージのgoogle-cloud-go（Google Cloudクライアントライブラリ）だった。