C# (.NET)

C# (.NET) のプロジェクトをスキャンする

yamory では、NuGet によって管理されている .NET (C# / VB など) プロジェクトの脆弱性をスキャンできます。スキャンは、コマンドラインスキャンによって実行します。

.NET プロジェクトのスキャンでは、packages.config 形式 または PackageReference 形式で NuGet にて管理されたパッケージをスキャン対象とし、 *proj ファイル、および packages.configpackages.lock.json./obj/project.assets.json のいずれかのファイルを使用して脆弱性を可視化します。

PackageReference 形式 (主に .NET Core ベースのプロジェクトで使われます) を採用しているプロジェクトでは、 packages.lock.json (もしくは ./obj/project.assets.json ) が必要になります。

  • packages.lock.jsonロックファイルを有効化 した状態で NuGet から PackageReference プロジェクトを復元 ( dotnet restore 等) することで生成されます。
  • ./obj/project.assets.json は NuGet から PackageReference プロジェクトを復元 ( dotnet restore 等) することで生成されます。このファイルは中間出力ファイルのため、前述のロックファイルをご利用されることを推奨いたします。