yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

GitHub アカウントと連携してリポジトリをスキャンする(GitHub スキャン)

yamory と GitHub アカウントを連携することで、GitHub で管理しているリポジトリ内のマニフェストファイルを毎日自動でスキャンします。yamory ではこれを「GitHub スキャン」と呼称しています。
スキャン対象はリポジトリ単位で選択できるため、脆弱性の存在を把握したいリポジトリだけを yamory に登録できます。

GitHub 以外でソース管理している場合、コマンドラインから脆弱性をスキャンできます。

Java、Scala 等のコンパイル系言語については、間接的に依存しているオープンソース脆弱性をスキャンするためにコマンドラインからスキャンすることを推奨します。

GitHub と連携するステップ

以下の手順で、GitHub と連携します。

  1. OAuth 認証を行う
  2. スキャンするリポジトリの選択する
  3. 登録されたリポジトリとマニフェストファイルを確認する

連携する GitHub アカウントはスキャン対象リポジトリの Read 権限を持っている必要があります。

OAuth 認証を行う

(1)「スキャン」画面から、「新しいプロジェクトをスキャン」をクリックしてください。

<プロジェクト画面のキャプチャ>

(2)「GitHub リポジトリから追加」をクリックしてください。

<「新しいプロジェクトを追加」モーダル画面のキャプチャ>

スキャン候補リポジトリ選択画面でスキャン対象を選択しない限り、スキャンされません。

(3)GitHub と連携する Organization を確認し、「Authorize yamory」をクリックしてください。

<外部の連携画面のキャプチャ>

Organization に対して Access restricted となっている場合、表示されている 「Grant」 をクリックし、許可してください。

Organization に対して Owner ではない場合、表示されている 「Request access」 をクリックし、Owner に許可を要求してください。

スキャンするリポジトリの選択する

認証した Github Organization でスキャン可能なリポジトリ候補が表示されます。
スキャンしたいリポジトリを選択し、スキャンしてください。

<スキャン候補リポジトリ画面のキャプチャ>

登録されたリポジトリとマニフェストファイルを確認する

スキャンが完了すると、登録されたリポジトリとマニフェストファイルを表示されます。
各マニフェストファイルをクリックすると、依存関係のあるソフトウェアが一覧で表示されます。

<マニフェストファイル詳細画面のキャプチャ>

依存関係のあるソフトウェアに脆弱性が検出されている場合、そのソフトウェア名をクリックすると検出されている脆弱性が一覧で表示されます。