yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

C# (.NET) のプロジェクトをスキャンする

yamory では、NuGet によって管理されている .NET (C# / VB など) プロジェクトの脆弱性をスキャンできます。
スキャンは、GitHub リポジトリスキャンコマンドラインスキャン、どちらのスキャン方式でもご利用いただけます。

スキャンできる .NET プロジェクトについて

.NET プロジェクトのスキャンでは、packages.config 形式 または PackageReference 形式で NuGet にて管理されたパッケージをスキャン対象とし、 *proj ファイル、および packages.configpackages.lock.json./obj/project.assets.json のいずれかのファイルを使用して脆弱性を可視化します。

PackageReference 形式 (主に .NET Core ベースのプロジェクトで使われます) を採用しているプロジェクトでは、 packages.lock.json (もしくは ./obj/project.assets.json ) が必要になります。

  • packages.lock.jsonロックファイルを有効化 した状態で NuGet から PackageReference プロジェクトを復元 ( dotnet restore 等) することで生成されます。
  • ./obj/project.assets.json は NuGet から PackageReference プロジェクトを復元 ( dotnet restore 等) することで生成されます。このファイルは中間出力ファイルのため、前述のロックファイルをご利用されることを推奨いたします。