NPM 생태계에서 사용자 참여 패턴과 기업 소속 예측

초록

본 연구는 NPM 패키지 생태계에서 개발자들이 이슈와 풀‑리퀘스트를 통해 어느 수준의 의존성에 기여·요구하는지를 분석하고, 기여·요구 패턴을 기반으로 개발자를 세 그룹으로 분류한다. 또한, 이러한 참여 패턴을 활용해 사용자의 기업 소속 여부를 랜덤 포레스트 모델로 예측했으며, AUC‑ROC 0.68, 정확도 70% 수준의 성능을 보였다. 결과는 직접 의존성에 대한 기여·요구가 대부분이며, 전이 의존성이나 공급망 외 패키지에 대한 활동은 매우 제한적임을 보여준다.

상세 분석

이 논문은 오픈소스 소프트웨어(OSS) 생태계에서 ‘노력 기여(effort contribution)’와 ‘노력 요구(effort demand)’라는 두 축을 정의하고, 이를 NPM(Node Package Manager) 생태계에 적용하였다. 연구자는 4,433개의 고인기(NPM 다운로드 10,000회 이상) 패키지를 대상으로 GitHub API를 통해 1,376,946개의 이슈·풀‑리퀘스트 데이터를 수집했으며, 이와 연관된 272,142명의 활성 사용자 프로필을 확보하였다. 사용자별 공급망을 0‑레벨(직접 커밋한 패키지), 1‑레벨(직접 의존하는 패키지), 2+‑레벨(전이 의존성), X‑레벨(공개된 의존성 체계에 포함되지 않은 패키지)로 구분하고, 각 레벨에 대한 이슈·PR 발생 비율을 계산하였다.

주요 발견은 다음과 같다. 첫째, 사용자는 주로 직접 의존하는 0‑레벨·1‑레벨 패키지에 이슈와 PR을 생성하며, 전이 의존성(2+‑레벨)이나 공급망 외(X‑레벨) 패키지에 대한 활동은 전체의 5% 미만에 불과했다. 이는 개발자들이 자신의 의존성 트리 상위에 있는 코드에 대한 가시성(visibility)이 제한적이며, 실제로는 ‘내가 직접 쓰는’ 라이브러리에만 집중한다는 점을 시사한다.

둘째, 퍼지 C‑means 군집화 결과, 노력 요구 패턴에 따라 세 그룹(직접 의존 패키지에 집중, 공급망 외 패키지에 집중, 교차 프로젝트 이슈를 다소 생성)으로, 노력 기여 패턴에 따라 두 그룹(직접 의존 패키지에 집중, 공급망 외 패키지에 집중)으로 구분되었다. 특히 ‘프로리픽(prolific)’ 사용자(이슈 10건 이상 제출)들은 직접 의존 패키지에 더 집중하고, 공급망 외 활동은 현저히 낮았다.

셋째, 사용자의 기업 소속 여부를 예측하기 위해 랜덤 포레스트 모델을 구축했으며, 입력 변수로는 레벨별 이슈·PR 비율, 총 활동량, 프로리픽 여부 등을 사용했다. 모델은 10‑fold 교차 검증에서 평균 정확도 70% (95% CI 69.9‑70.5%)와 AUC‑ROC 0.68을 기록했다. 이는 참여 패턴만으로도 기업 소속을 어느 정도 구분할 수 있음을 보여주지만, 예측 성능이 완벽하지 않아 추가적인 메타데이터(예: 커밋 내용, 조직 네트워크)와 결합할 필요성을 제시한다.

연구 방법론 측면에서는 대규모 데이터 수집·정제 과정, 레벨 정의의 합리성, 퍼지 군집화와 랜덤 포레스트 적용이 적절했으나, 몇 가지 한계가 있다. 첫째, GitHub 프로필에 기업 정보를 명시하지 않은 사용자를 ‘비기업’으로 분류했을 가능성이 있다. 둘째, 레벨 X 패키지는 공개된 레포지토에만 기반해 정의되므로, 사용자가 사내 혹은 비공개 레포지토에 의존하고 있을 경우 누락될 수 있다. 셋째, NPM 외 다른 패키지 매니저(예: Yarn, pnpm)와의 연계가 고려되지 않아 일반화에 제한이 있다.

전반적으로 이 연구는 OSS 공급망 내에서 개발자 행동을 정량화하고, 가시성 문제와 기업 참여를 데이터 기반으로 조명한 점에서 의미가 크다. 향후 연구는 가시성을 향상시키는 도구 개발, 전이 의존성에 대한 보안·품질 리스크 분석, 그리고 기업·커뮤니티 간 협업 메커니즘을 탐구하는 방향으로 확장될 수 있다.