サポート範囲とスキャン対象
アプリライブラリスキャンのサポート言語・パッケージ管理システム一覧
アプリライブラリスキャンのサポートしている言語・パッケージ管理(ビルド)システムおよびスキャン対象は次のとおりです。
| 主な言語 | パッケージ管理・ビルドシステム | GitHub リポジトリスキャン | コマンドラインスキャン |
|---|---|---|---|
| Java/Kotlin | Maven | pom.xml |
mvn コマンド出力結果 |
| Java/Kotlin | Gradle | build.gradle |
gradle コマンド出力結果 |
| Java/Kotlin | Android (Gradle) | build.gradle |
gradle コマンド出力結果 |
| Scala | sbt | build.sbt, Dependencies.scala |
sbt コマンド出力結果 |
| JavaScript/TypeScript | npm | package.json, package-lock.json |
package.json, package-lock.json |
| JavaScript/TypeScript | pnpm | package.json, pnpm-lock.yaml |
package.json, pnpm-lock.yaml |
| JavaScript/TypeScript | Yarn | package.json, yarn.lock |
package.json, yarn.lock |
| PHP | Composer | composer.json, composer.lock |
composer.json, composer.lock |
| Python | pip | requirements.txt(pip list --format=freeze されたもの) |
requirements.txt(pip list --format=freeze されたもの) |
| Python | Poetry | 未対応 | Python のプロジェクトをスキャンするを参照 |
| Python | Pipenv | 未対応 | Python のプロジェクトをスキャンするを参照 |
| Ruby | Bundler (RubyGems) | Gemfile.lock |
Gemfile.lock |
| C#/Visual Basic/F#(.NET) | NuGet | .csproj, .vbproj, .fsproj, packages.config, ./obj/project.assets.json, packages.lock.json |
.csproj, .vbproj, .fsproj, packages.config, ./obj/project.assets.json, packages.lock.json |
| Go | Go Modules | go.sum |
go.sum |
| Rust | Cargo | Cargo.toml, Cargo.lock |
Cargo.toml, Cargo.lock |
ホストスキャンのサポート OS ・ディストリビューション一覧
ホストスキャンのサポートしている OS・ディストリビューション、サポートバージョンは次のとおりです。
Linux は、x64 アーキテクチャおよび、AWS Graviton シリーズを含む ARMv8 アーキテクチャをサポートしています。
| OS | ディストリビューション | サポートバージョン |
|---|---|---|
| Linux | Ubuntu | 14, 16, 18, 19, 20, 22 |
| Linux | Red Hat Enterprise Linux(※1)/ CentOS(※2) | 5, 6, 7, 8, 9 |
| Linux | Debian | 7, 8, 9, 10, 11, 12 |
| Linux | Amazon Linux(※3) | 1, 2, 2023 |
| Linux | Oracle Linux | 5, 6, 7, 8, 9 |
| Windows | Windows Server | 2012 R2, 2016, 2019, 2022 |
| Windows | Windows | 10, 11 |
※1 MIRACLE LINUX, Rocky Linux, AlmaLinux についても、Red Hat Enterprise Linux 互換 OS として、スキャンと脆弱性の検知が可能です。スキャン時にdistribution: redhatを指定する必要があります。詳細はscan | 使い方 | yamory - 脆弱性管理クラウドをご確認ください。
※2 CentOS Stream は未対応
※3 すべてのリージョンで利用可能
ホストスキャンにより取得する情報
Linux 系の取得情報
各種コマンド実行結果から以下の情報を取得
- インストールされているパッケージ情報(rpm, dpkg-query 等のパッケージ管理コマンドの実行結果)
- ホスト名
- OS 情報
- IP アドレス情報
- yamory-cli 実行環境のユーザー名
Windows 系の取得情報
各種コマンド、API の実行結果、およびレジストリの情報から以下の情報を取得
- インストールされているパッケージ情報
- 適用済み・未適用の KBID
- ホスト名
- OS 情報
- IP アドレス情報
- yamory-cli 実行環境のユーザー名
コンテナイメージスキャンのサポート OS ・ディストリビューション一覧
コンテナイメージスキャンのサポートしている OS・ディストリビューション、サポートバージョンは次のとおりです。
| OS | ディストリビューション | サポートバージョン |
|---|---|---|
| Linux | Ubuntu | 14, 16, 18, 19, 20, 22 |
| Linux | Red Hat Enterprise Linux / CentOS (※) | 5, 6, 7, 8, 9 |
| Linux | Debian | 7, 8, 9, 10, 11, 12 |
| Linux | Amazon Linux | 2, 2023 |
| Linux | Alpine Linux | 3.2 以上, 3.19 以下 |
| Linux | Oracle Linux | 5, 6, 7, 8, 9 |
※ CentOS Stream は、未対応です。
コンテナイメージスキャンにより取得する情報(スキャン対象)
trivy コマンドの実行結果から以下を取得
- インストールされているパッケージ情報
- OS 情報
- イメージ名
- イメージタグ名
- ダイジェスト
クラウドのサポート範囲
対象プラットフォーム
- Amazon Web Services
Amazon Web Servicesでサポートしているリージョンは、awsパーティション内のリージョンのみです。
aws-cnパーティション、aws-us-govパーティションは未対応です。
クラウド連携に関するポリシーおよびクラウドアセットスキャンに関するサポート範囲は、クラウドアセットスキャンについてをご覧ください。
- Microsoft Azure
- Google Cloud
IT資産登録機能のサポート範囲
- CVE-IDが発番されている脆弱性が検知対象
- 手動で登録した内容を元に、yamoryの脆弱性DBと紐付けを行い、脆弱性検出します。内容に不備がある場合は、検出できないケースもあるので正規の情報を入力してください。
IT資産登録機能で取得する情報(スキャン対象)
- お客様がアップロードした情報がスキャン対象
EOL管理機能のサポート範囲
検知可能なプロダクト一覧は、ドキュメントをご覧ください。