AI News HubLIVE
サイト内リライト4 分で読了

Threadplane:Angular エージェント UI フレームワークがサプライチェーン信頼度で A 評価を獲得

HVTracker は AI エージェントソフトウェア向けの独立した信頼度トラッカーであり、Threadplane は 82.8/100 の A 評価を獲得しました。エージェントフレームワークカテゴリで 75 中の第 7 位、かつ唯一の Angular フレームワークです。評価は GitHub API、npm、PyPI レジストリ、OpenSSF Scorecard CLI などの公開シグナルのみに基づいており、自己申告はありません。この記事は、特に爆発半径の大きいエージェントフレームワークにおけるサプライチェーンの透明性の重要性を強調しています。Threadplane の信頼シグナルには、OSSF Scorecard 7.7/10、MIT ライセンス、署名付きコミット 82%、検証可能な来歴、積極的なメンテナンスが含まれます。フレームワークはほとんどが MIT オープンソースであり、@threadplane/chat ライブラリのみが商用ライセンスです。

ソースHacker News AI著者: brian_love

すべてのエージェントフレームワークはあなたに信頼を求めます。しかし、私はあなたにそれを測定してほしいのです。

HVTracker は AI エージェントソフトウェア向けの独立した信頼トラッカーです。Threadplane に 82.8/100 のスコアを付けました — A 評価です。

エージェントフレームワークカテゴリでは、75 中第 7 位です。そして、リスト上で唯一の Angular エージェントフレームワークです。

私自身はアンケートに回答したり、バッジを購入したりしていません。HVTracker は公開シグナルのみからスコアを付けています:GitHub API、npm および PyPI レジストリ、OpenSSF Scorecard CLI で、毎日更新されます。評価は彼らの分析が私たちについて述べていることであり、私たちが自分自身について言っていることではありません。

私にとって、それがすべてのポイントです。自分自身についての信頼の主張はあまり価値がありません。

他に誰がリストに載っていますか?

これは私が何度も戻ってくる部分です。私たちが一緒にいる仲間を見てみましょう。

順位 フレームワーク 信頼度 スター数 1 Haystack 95.5 25.7k 2 Vercel AI SDK 95.1 25.1k 3 LangGraph 93.0 35.6k 6 OpenAI Agents SDK 85.8 27.4k 7 Threadplane 82.8 99 8 CrewAI 80.6 54.3k 11 LangChain 76.6 140.1k

スターの列を見てください。

Threadplane は信頼度で CrewAI、AutoGen、LangChain よりも上位にランクされています — GitHub スターが 99 しかないのに対し、それらは数万のスターを持っています。

これはグリッチではありません。HVTrust は人気ではなく、サプライチェーンの整合性と来歴に重みを置いています。パッケージは週に何百万回もダウンロードされていても、セキュリティシグナルが薄い可能性があります。小さなパッケージでもすべてのシグナルが揃っていることがあります。評価は後者の種類に報いるものであり、これこそがこのようなトラッカーが存在する理由です。

そして、どこが弱いかについても正直に述べます。最も低いシグナルは採用です。99 スターでは、プロファイルの中で最も成長の余地がある部分であり、上記の大規模プロジェクトが真にリードしている唯一の場所です。私はそれをごまかすつもりはありません。

A 評価は実際に何を意味するのか?

HVTracker は自身の主張に慎重であり、私もそうありたいと思います。リストには次のように印刷されています:

安全の推奨ではありません。HVTracker は公開シグナルが示すものを説明するものであり、プロジェクトがあなたのユースケースに対して安全かどうかを示すものではありません。本番環境で採用する前に、独自のセキュリティレビューを実施してください。

この注意書きこそが、評価に価値がある理由です。

それは「私たちを信頼してください」というステッカーではありません。5 つの次元にわたる測定値です:

安全性/整合性 — OSSF Scorecard、来歴、署名。

アイデンティティ/来歴 — 公開されたパッケージとそれを構築したソースとの間の検証可能なリンク。これは私たちの最も強いシグナルです。

透明性 — 宣言された OSI 承認ライセンスと公開チェック。

メンテナンス — コミットの鮮度と頻度。

採用 — スターとダウンロード数。

A 評価は単にスコアがトップバンド(A は 80 以上)にあることを意味します。誰かがあなたの脅威モデルを監査したという意味ではありません。公開証拠が強力であり、そのすべてを自分で検証できることを意味します。

なぜこれがエージェントフレームワークにとってより重要か

ほとんどのソフトウェアは一か所で一つの仕事をします。エージェントフレームワークは異なります。

モデルを実行します。ツールコールを実行します。認証情報にアクセスし、ユーザーに代わって行動します。多くの場合、実際のシステムに対して実際の権限を持ちます。

したがって、エージェントの下にある侵害された依存関係の爆発半径は、スタック内の他のほとんどすべてのものよりも大きくなります。これが「このもののサプライチェーンは整っているか?」という質問が、単なるチェックボックスではなく、本当の質問になる理由です。

また、ツールが存在して閉じようとしているギャップでもあります。OpenSSF Scorecard — HVTrust の大部分の背後にあるエンジン — は、攻撃者が実際に狙うチェーンの部分(ソース、ビルド、依存関係、署名、メンテナンス)をチェックします。OpenSSF によると、多くのオープンソースはリソースが限られた小規模チームによって運営されており、それはまさにサプライチェーン攻撃が狙うソフトターゲットです。そして、Sonatype の分析では、プロジェクトの Scorecard スコアは、既知の脆弱性を持っているかどうかの最良の予測因子の一つであることがわかりました。

私の経験から言えば、エージェントが実行するものをインストールする前に尋ねる価値のある質問です:あなたのアプリケーションのうち、自分が書いていないコードにどれだけを委ねていますか?そして、その出所を証明できますか?

評価の背後にある作業

評価は出力です。こちらが入力です — それを獲得する退屈で華やかさのない衛生状態です。

OSSF Scorecard 7.7/10 — ブランチ保護、署名付きリリース、依存関係レビュー、コードレビュー、継続的実行。

MIT ライセンス — 宣言された、OSI 承認の、寛容なライセンス。あなたがそれで何ができるかについての曖昧さはありません。

最近のコミットの 82% が暗号署名済み — コードがコミットが主張する人物から来たことを確認できます。

検証可能な来歴 — npm パッケージからそれを生成したビルドまでの追跡可能な線。

活発なメンテナンス — スコアリング時にリポジトリが過去 1 日以内にプッシュされていました。

これらはどれも特別なものではありません。これらすべてを実行し、維持し続けることが、プロジェクトを「おそらく大丈夫」から「確認できる」へと移行させます。

デフォルトでオープン

Threadplane は MIT ライセンスのオープンソースです。フレームワーク — LangGraph および AG-UI アダプター、生成 UI ランタイム、プロトコルタイプ — は無料であり、無料のままです。

1 つのライブラリ @threadplane/chat は商用ライセンスを保持しています。それが他のすべてをオープンに保ち、維持するための資金となる唯一の部分です。

私にとって、それが持続可能なオープンソースの正直なバージョンです。上記の信頼シグナルは、クローズド製品のマーケティングペイントではありません。それらは私がコードベース全体に課すものであり、そのコードベースのほとんどすべては MIT であり、あなたが読めるようにそこにあります。

私の言葉を信じないでください

完全な内訳 — すべての次元、Scorecard チェック、および生の JSON — は Threadplane の HVTracker リストで公開されています。彼らの言葉を信じて、それを検証してください。

結論

信頼評価は出発点であり、終着点ではありません。フレームワークを評価する本当の方法は、それを使って何かを構築することです。

もし興味があれば:リストとエージェントフレームワークのリーダーボードを読み、GitHub でソースを閲覧し(すべて — ほとんどすべてがオープンです)、クイックスタートで最初のストリーミングエージェント UI をリリースしてください。

シグナルを新鮮に保ち、フレームワークをオープンに保ち、まだ誇りに思っていない数字に取り組み続けます。残りはあなたが検証できます。💚