C# (.NET) のプロジェクトをスキャンする
yamory では、NuGet によって管理されている .NET(C# / Visual Basic / F#)プロジェクトの脆弱性をスキャンできます。
NuGet プロジェクトにおけるスキャン対象はこちらをご参照ください。
スキャンは、GitHub リポジトリスキャンまたはコマンドラインスキャンで行えます。用途に応じてお選びください。
スキャンできる .NET プロジェクトについて
.NET プロジェクトのスキャンでは、packages.config
形式または PackageReference
形式で NuGet にて管理されたパッケージをスキャン対象としています。
PackageReference
形式のプロジェクトについて
PackageReference
形式(主に .NET Core ベースのプロジェクトで使われます)を採用しているプロジェクトでは、packages.lock.json
(もしくは ./obj/project.assets.json
)が必要になります。
packages.lock.json
はロックファイルを有効化 した状態で NuGet からPackageReference
プロジェクトを復元(dotnet restore
等)することで生成されます。./obj/project.assets.json
は NuGet からPackageReference
プロジェクトを復元(dotnet restore
等)することで生成されます。このファイルは中間出力ファイルのため、前述のロックファイルをご利用されることを推奨いたします。
GitHub リポジトリから NuGet プロジェクトをスキャンする
GitHub リポジトリスキャンの手順に沿って、「スキャン候補リポジトリ選択画面」にて、NuGet プロジェクトが含まれているリポジトリを選択してください。
コマンドラインから NuGet プロジェクトをスキャンする
「コマンドラインから NuGet プロジェクトをスキャンする」をご参照ください。