はじめに
ライブラリを使用することが当たり前になっている中で気をつけないと運用を始めた時に困る場合があるのでいくつか紹介します。
他にもあれば教えていただけると幸いです。
1. ライセンスが問題ないか?
当たり前にやっていると思いますが商用利用可能なライセンスかを確認しましょう。
ライセンスの違いについては以下を参考に!
2. 依存関係があるか?
依存関係があるライブラリを使用しているとそのライブラリ以外では使用していなく無駄になっている
選定の時点で実現するために本当に必要かを判断した方が良い。
組織によってはSBOM(Software Bill of Materials)を導入してます。セキュリティのリスク管理をしっかりと行う必要がある。
https://www.meti.go.jp/press/2025/09/20250904001/20250904001.html
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/sbn8o10000001y6j-att/sbn8o10000001zcl.pdf
3. メンテナンスがされているか?
メンテナンスがされていないライブラリはセキュリティリスクが高まるのでリリースタグなどから最終コミットを確認して問題がないか判断をしましょう。