yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

スキャンスクリプトが改ざんされていないことを検証する

yamory ではアプリライブラリスキャンの際に使うスクリプトが改ざんされていないことを検証するために、各スクリプトのハッシュ値 (SHA512) を公開しています。

このページで紹介する手順を実施することで、ハッシュ値の検証を行うことができます。

検証方法

Linux または macOS の場合

次のコマンドを実行することでハッシュ値の検証を行うことができます。

なお、変数 YAMORY_SCRIPT_NAME の箇所は以下の値がサポートされています。

  • gradle
  • sbt
  • maven
  • rubygems
  • npm
  • yarn
  • composer
  • gomodules
  • pip

スキャンスクリプトの取得 URL は環境ごとに異なります。コマンドラインからスキャンする手順を参考に事前に確認、取得しておいてください。

Linux でのコマンド例

$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ sha512sum -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt

macOS でのコマンド例

$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ shasum -a 512 -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt

Windows で NuGet を利用する場合

次のコマンドでハッシュ値を生成し、ダウンロードしたハッシュ値と比較することで検証できます。

> curl.exe -o yamory-nuget.ps1 <https://yamory/script/nuget/powershell>
> $yamory_check_hash = curl.exe https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-nuget-sha512sum.txt
> $yamory_script_hash = (Get-FileHash yamory-nuget.ps1 -Algorithm SHA512).Hash.ToLower()
> if ("${yamory_script_hash}  yamory-nuget.ps1" -eq $yamory_check_hash) { "OK" } else { "NG" }