Vercelがskills.sh APIを公開しOIDC認証による60万件超のスキルデータ提供を開始
Vercelは、オープンソースエコシステム全体から収集した60万件以上のスキル情報を検索・取得できる「skills.sh API」を公開しました。開発者はプロジェクトのVercel OIDCトークンを使用して認証を行い、各スキルの詳細情報やセキュリティ監査の結果をプログラムから直接クエリできます。認証には短期間で自動更新されるプロジェクト単位のトークンが使用されるため、従来の静的なAPIキーのような漏洩リスクや手動でのローテーション作業を排除した運用が可能です。
従来のスキル情報の取得は手動での検索や個別のデータソースへのアクセスが必要でしたが、本APIの導入によりGitHubなどのOSS活動に基づいたスキルデータを一元的に自動取得できるようになりました。リクエスト制限はチームおよびプロジェクトごとに毎分600回に設定されており、大規模なスキャンや高頻度のクエリにも対応できる設計となっています。利用にあたっては、Vercelのプロジェクト設定からOIDC発行者の信頼関係を構成し、発行された短寿命トークンをリクエストヘッダーに含める必要があります。
データの取得範囲にはスキルの基本定義だけでなく、関連するセキュリティ監査ログも含まれるため、依存関係の選定やエンジニアリングスキルの定量的評価に活用できる可能性があります。一方で、提供されるデータの鮮度や監査内容の詳細度はスキルの種類によって異なるため、特定プロジェクトの意思決定に利用する際はAPIドキュメントに記載された各エンドポイントのレスポンス仕様を事前に確認する構成が求められます。
Related tools
この記事に関連するおすすめツール
比較検討しやすい導入候補を優先して表示しています。一部リンクは広告・アフィリエイトを含む場合があります。
フェレット記者の用語メモ
oidc
IDトークンを使ってユーザーやリソースの認証状態を証明するプロトコルだよ。今回のようなAPI連携では、固定のシークレットを発行せずに『今動いているこのプロジェクト』という実行環境の信頼性をベースに一時的な鍵を発行できるのが強み。ただし、クレーム(属性情報)の検証ロジックを自前で書くときに、発行元の検証をサボると他人のプロジェクトになりすまされる脆弱性を生むから注意してね。
比較: 静的APIキー
出典: Vercel Changelog
要点を短く整理して掲載しています。詳細は出典を確認してください。
