ทีม security ของ Google ได้ปล่อย project ชื่อว่า Open Source Insights ออกมาเพื่อแสดง dependecy ของ library ในภาษาต่าง ๆ ออกมาเป็นภาพช่วยทำให้เข้าใจการทำงานและความสัมพันธ์มากยิ่งขึ้นรวมทั้งให้ง่ายต่อการแก้ไขเรื่อง security อีกด้วย
dependency Archive
แนวทางในการจัดการ Dependency/library ของระบบงาน
จากการพัฒนาระบบงาน พบว่ามีการใช้งาน dependency/library ต่าง ๆ มากมายแต่บ่อยครั้งพบว่า มีปัญหาในการใช้งานและจัดการมาก ๆไม่ว่าจะใช้ version เก่า ๆ ไม่ยอม update สักทีแก้ไข dependency นั้น ๆ ตามต้องการบางคนบอกว่า hack มันไปเลยทำให้ไม่สามารถ update version ได้อีกดังนั้นจึงทำการแนะนำการจัดการไปดังนี้
กรุณาระบุ version ของ library ที่ใช้ให้ชัดเจน
หลังจากที่ทำการ review หลาย ๆ ระบบ พบปัญหาคล้าย ๆ กันคือ ไม่ยอมระบุ version ของ library ที่ใช้งาน หรือทำการระบุ version แบบเป็นช่วง ปัญหาที่พบประกอบไปด้วย ใช้ library version ไหนกันแน่ เมื่อ library ที่ใช้มีการ upgrade ก็พังกันหมด build ผ่านบ้างไม่ผ่านบ้าง test ผ่านบ้างไม่ผ่านบ้าง เจอ bug แปลก ๆ อีก สาเหตุหลัก ๆ มาจากคนใช้งาน หรือตัว package manager ที่ใช้งานกัน