拡張機能研究所

おすすめのブラウザ拡張機能をマンガ形式で紹介!

2025/07/30 08:00

依存パッケージのライセンス、ちゃんと見てる?わたしのちょっとしたモヤモヤ話

プロジェクトで使うパッケージのライセンスって、実はみんなどうしてるんだろう? ツール使う? それとも気にしない? そんな疑問をゆるっと話してみたよ。
引用元:
https://www.reddit.com/r/webdev/comments/1mato3y/do_yall_act...

なんとなくそう思ってたけど、パッケージのライセンスって**ちゃんと見てる人ってどれくらいいるんだろう?**って、最近ふと思ったんだよね💭

仕事でも趣味のプロジェクトでも、いろんなパッケージをぽんぽん入れちゃうけど、正直わたしはあんまりライセンスのことまで気にしてなくて…「まあパッケージマネージャーが大丈夫って言ってるし!」って感じでスルーしてたんだよね😳✨

でも、友だちに「ライセンスはちゃんと確認しないとヤバいよ」って言われて、ちょっと考え始めたんだ。

みんなはどうしてるの?👀

  • ツールで一括チェック?
    SPDXとかSBOMとか、なんかよくわかんないけど聞いたことある用語もあって、これって普通に開発者が使うもんなのかな?それとも法務の人とかがやること?🧠

  • パッケージマネージャー任せ?
    「npmとかpipとかが勝手にやってくれてるっしょ!」って信じてる人、多い気がする🥺

  • 気にしない派?
    そもそもライセンスのことは、誰かが言い出すまで気にしないって人も多そう。わたしもまさにこれだったし…😆

SPDXやSBOMって何!?🤔

これ、何がスゴイのか全然ピンとこなくて、調べてみたら「ソフトウェアの部品リスト」みたいなものらしい。つまり自分のプロジェクトに何が入ってるか、ちゃんと見える化するためのツールなんだって💡

でも、これ普通の開発者が日常的に使ってるの?それとも会社の法務チームや管理者が「ちゃんとやってね」って感じで扱うもの?なんか大企業の話みたいで、わたしみたいな初心者には遠い世界に感じちゃうよね🌸

結局どうしたらいいの?✨

わたしみたいに「まぁ大丈夫でしょ」って思ってたけど、ちゃんとライセンスを確認するのはまじめにやったほうがいいみたい。特に仕事で使うなら、あとで困るのはイヤだしね!

でも正直、全部のパッケージのライセンスを毎回調べるのはちょっと大変だし、だからこそツールを活用するのもアリなんだろうなーって思ったよ🧰

わたしは今ちょっとずつ勉強中だけど、みんなはどんな感じでやってる?もし知ってたら教えてほしいな〜🥺💗

こんな感じで、ふつうの開発者もライセンス問題は意外と気にしたほうがいい話だよね〜って話でした✨

この記事をシェア
X(旧Twitter)FacebookLINEこのエントリーをはてなブックマークに追加はてなThreadsThreads

コメント

アバター

ライセンス、ダウンロード数、活動状況は必ずチェックしないと後で痛い目見るよ。

アバター

1. https://www.npmjs.com/package/webpack-license-plugin 2. https://github.com/codepunkt/rollup-license-plugin

アバター

ライセンス全部集めて、NGのはビルド失敗にしよう。 ライセンス無しは上書きして対応。

アバター

うん、自動化してるよ。

アバター

コードも画像も全部ライセンスチェックしてるよ。 やらなきゃ法的リスクがあるし、スケールが大きいほど危険度アップ。 悪質なスクレイパーもいるからね。 依存はライセンスだけじゃなく、メンテ状況や採用例もちゃんと見る。 多すぎる依存は管理も品質も悪化するから、ライセンスが緩いものだけ使う。

アバター

誰でもNPMに出せるからパッケージマネージャーは信用しちゃダメ。 スパイウェアやマイナーも普通にあるよ。

アバター

ライセンス、メジャーアップデート頻度、ドキュメントの質、TS対応、バグ修正頻度、バンドルサイズはライブラリ選びの重要ポイント。

アバター

個人プロジェクトなら主にバージョン更新とサイズだけ見るかな。

アバター

商用なら絶対チェックするよ。 若い頃、趣味の副業で使ったスクリプトで4千ドル超の請求と停止命令来たことあるからね。 以来、クライアントには必ずライセンス買わせてる。 金要るものは無許可使用厳禁。

アバター

訴えられたくないなら、コードの大部分を書き直すか社外秘を公開しない限り、ライセンスは絶対確認すべき。

アバター

依存なし。

アバター

いや、CI/CDでセキュリティツール使ってるから特に手動チェックはしてない。 問題あれば検討してメンテに連絡する感じ。

アバター

趣味なら気にしないけど、商用ならライセンスや更新日、スター数、対応速度は必ず見る。

アバター

うん、全部の依存とライセンス管理してCI/CDでwebpack-license-pluginでビルド失敗させてる。

アバター

承認済み依存のDBも持ってて、更新チェック用スクリプトもある。 ライセンス問題あれば自社製か内製に差し替える。

アバター

もちろん。 でも結構嘘もつくよ(笑)

アバター

Snykをパイプラインで動かしてチェックしてる。

アバター

もちろんだよ。

アバター

上司は「完璧に出来てて更新不要かつ自社で作れるなら自作する」って方針。 例えばアクセシビリティーツールは既存プラグインは古いか高額サブスクばかりで、自分で作れと言われたから作った。

アバター

人気の3つのプラグインUIをパクって改良し、機能も混ぜて不要なのは捨てた。 プラグイン化はしてないけど独立して使える。

アバター

ちなみに20年以上のPHP+JQuery+HTML+CSSの古いプラットフォームで超厳しいルール守ってる。 今はPHP最新化に向けて4万ファイルも改修中。

関連記事
バグで給料が減る!? 社長の“罰ゲーム案”に思わず考えちゃった話
バグで給料が減る!? 社長の“罰ゲーム案”に思わず考えちゃった話
2025/08/17 17:00
「Mr. Git」って知ってる?VS Codeに住む謎の助っ人の話
「Mr. Git」って知ってる?VS Codeに住む謎の助っ人の話
2025/08/17 14:00
VSCodeが「AIコードエディター」に名前変えたって、どう思う?
VSCodeが「AIコードエディター」に名前変えたって、どう思う?
2025/08/17 11:00
30年前のウェブサイト制作ってどんな感じ?昔のコードをのぞいてみたら…
30年前のウェブサイト制作ってどんな感じ?昔のコードをのぞいてみたら…
2025/08/17 10:00
なぜAlJazeera.comはこんなに速く表示されるの?読み込みスピードの秘密をさくっと解説
なぜAlJazeera.comはこんなに速く表示されるの?読み込みスピードの秘密をさくっと解説
2025/08/16 21:00
面接中にAIツールが突然画面に出現!? エンジニア面接の未来ってどうなるの?
面接中にAIツールが突然画面に出現!? エンジニア面接の未来ってどうなるの?
2025/08/16 16:00
AIで「開発者は置き換えられる」じゃなくて「生まれ変わる」って話
AIで「開発者は置き換えられる」じゃなくて「生まれ変わる」って話
2025/08/14 21:00
意味がわからない!?ちょっと「呪われた」CAPTCHAたち3選🧙‍♂️✨
意味がわからない!?ちょっと「呪われた」CAPTCHAたち3選🧙‍♂️✨
2025/08/14 18:00