headless 曰く、

The Linux FoundationがLaboratory for Innovation Science at Harvardと共同で実施したフリー・オープンソースソフトウェア(FOSS)のセキュリティに関する調査報告書の暫定版「Preliminary Report and Census II of Open Source Software」を公開している(報告書: PDF、 The Registerの記事)。

The Linux Foundationは2014年、Heartbleed脆弱性の問題を受けてオープンソースプロジェクトを援助するCore Infrastructure Initiative(CII)を設立。2015年には調査プロジェクト(Census I)を実施して報告書を公開しており、今回のCensus IIはその第2弾となる。冒頭で「典型的なアプリケーションの80％～90%は(オープンソースの)コンポーネントでできている」というSonatypeによる2016年の報告書(PDF)からの引用を掲げている通り、セキュリティ上の問題点特定に活用するため、どのようなFOSSパッケージが幅広く使われているのかを特定することが主目的となっている。

報告書では付録として最も広く使われているFOSSパッケージ(JavaScript: 10、JavaScript以外: 10)がまとめられている。JavaScriptとそれ以外を分けたのは、使用したデータソースでJavaScriptが多くを占めており、どのようなランキングを作成しても使用したJavaScriptが上位を独占する状態になってしまうからだという。ただし、JavaScript以外のパッケージでも同じ問題があり、すべてがJavaのパッケージとなっている。なお、リストは人気順ではなくアルファベット順だ。

最も広く使われているJavaScriptパッケージは以下の通り。

• async
• inherits
• isarray
• kind-of
• lodash
• minimist
• natives
• qs
• readable-stream
• string_decoder

最も広く使われているJavaScript以外のパッケージは以下の通り。

• com.fasterxml.jackson.core:jackson-core
• com.fasterxml.jackson.core:jackson-databind
• com.google.guava:guava
• commons-codec
• commons-io
• httpcomponents-client
• httpcomponents-core
• logback-core
• org.apache.commons:commons-lang3
• slf4j:slf4j