GitHub リポジトリをスキャンする

GitHub と連携してリポジトリを継続的にスキャンする

yamory に GitHub アカウントを連携することで、GitHub で管理しているリポジトリ内のマニフェストファイルを毎日自動でスキャンします。
スキャン対象はリポジトリ単位で選択できるため、脆弱性の存在を把握したいリポジトリだけ yamory に登録できます。

⚠️ :  連携する GitHub アカウントはスキャン対象リポジトリの Read 権限を持っている必要があります。

💡 : GitHub 以外でソース管理している場合、コマンドラインから脆弱性をスキャンできます。

💡 : Java、Scala 等のコンパイル系言語については、間接的に依存しているオープンソース脆弱性をスキャンするためにコマンドラインからスキャンすることを推奨します。

GitHub と連携するステップ

以下の手順で、GitHub と連携します。

  1. OAuth 認証
  2. スキャンするリポジトリの選択
  3. 登録されたリポジトリとマニフェストファイルを確認

1. OAuth 認証

(1)「スキャン」画面から、「新しいプロジェクトをスキャン」をクリックしてください。

<プロジェクト画面のキャプチャ>

(2)「GitHub リポジトリから追加」をクリックしてください。

<「新しいプロジェクトを追加」モーダル画面のキャプチャ>

💡 : スキャン候補リポジトリ選択画面でスキャン対象を選択しない限り、スキャンされません。

(3)GitHub と連携する Organization を確認し、「Authorize yamory」をクリックしてください。

<外部の連携画面のキャプチャ>

⚠️ : Organization に対して Access restricted となっている場合、表示されている 「Grant」 をクリックし、許可してください。

⚠️ : Organization に対して Owner ではない場合、表示されている 「Request access」 をクリックし、Owner に許可を要求してください。

2. スキャンするリポジトリの選択

認証した Github Organization でスキャン可能なリポジトリ候補が表示されます。
スキャンしたいリポジトリを選択し、スキャンしてください。

<スキャン候補リポジトリ画面のキャプチャ>

3. 登録されたリポジトリとマニフェストファイルを確認

スキャンが完了すると、登録されたリポジトリとマニフェストファイルを表示されます。
各マニフェストファイルをクリックすると、依存関係のあるソフトウェアが一覧で表示されます。

<マニフェストファイル詳細画面のキャプチャ>

依存関係のあるソフトウェアに脆弱性が検出されている場合、そのソフトウェア名をクリックすると検出されている脆弱性が一覧で表示されます。