The utilization of dependencies has become a very central part of softwaredevelopment. Dependencies themselves often have dependencies, creating so calleddependency trees, that make up the supply chain of software. This study performs data analysison dependency trees of 100 popular packages in the NPM ecosystem. It starts by inquiring howthese dependency trees change over time go and then finds some of the most commonly useddependencies. Results suggest the evolution of dependency trees is very unpredictable, with noclear pattern in how trees change over time. It also finds that dependencies are concerninglywidespread, with the top 10 all appearing in 25% of all packages. Furthermore, thesedependencies all tend to be small, functionally simple, and transitive and have inconsistentprevalences. The authors argue that these dependencies pose a serious risk and highlight theneed for better dependency management and software diversity.

Användningen av mjukvaruberoende – tredjepartsmjukvara – har blivitcentral i mjukvaruutveckling. Dessa mjukvaruberoenden i sig använder ofta själva andratredjepartsprogram, vilken skapar stora träd av mjukvaruberoende somutgör leverantörskedjan till mjukvara. Denna studie gör en dataanalys av 100 populära paket iNPM ekosystemet. Den börjar med att undersöka hur dessa träd förändras över tid och gårsedan vidare till att leta efter de vanligast förekommande paketen i träden för alla 100 programsom undersöks. Resultaten visar att träden utvecklas väldigt oförutsägbart och det finns ingatydliga mönster i hur de ändras över tid. Vidare dras slutsatsen att de vanligt förekommandepaketen tenderar att vara små, funktionellt enkla, transitiva och existera inkonsekvent i träden.Författarna argumenterar f ̈ or att dessa mjukvaruberoenden utgör en signifikant risk och menaratt det finns ett behov av bättre hantering av tredjepartsprogram och mer mångfald imjukvaruekosystemet.