yamory ではアプリライブラリスキャンの際に使うスクリプトが改ざんされていないことを検証するために、各スクリプトのハッシュ値 (SHA512) を公開しています。

このページで紹介する手順を実施することで、ハッシュ値の検証を行うことができます。

検証方法

Linux または macOS の場合

次のコマンドを実行することでハッシュ値の検証を行うことができます。

なお、変数 YAMORY_SCRIPT_NAME の箇所は以下の値がサポートされています。

• gradle
• sbt
• maven
• rubygems
• npm
• pnpm
• yarn
• composer
• gomodules
• pip
• cargo

Linux でのコマンド例

$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ sha512sum -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt

macOS でのコマンド例

$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ shasum -a 512 -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt

Windows で NuGet を利用する場合

次のコマンドでハッシュ値を生成し、ダウンロードしたハッシュ値と比較することで検証できます。

> curl.exe -o yamory-nuget.ps1 <https://yamory/script/nuget/powershell>
> $yamory_check_hash = curl.exe https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-nuget-sha512sum.txt
> $yamory_script_hash = (Get-FileHash yamory-nuget.ps1 -Algorithm SHA512).Hash.ToLower()
> if ("${yamory_script_hash}  yamory-nuget.ps1" -eq $yamory_check_hash) { "OK" } else { "NG" }