スキャンスクリプトが改ざんされていないことを検証する
yamory ではアプリライブラリスキャンの際に使うスクリプトが改ざんされていないことを検証するために、各スクリプトのハッシュ値 (SHA512) を公開しています。
このページで紹介する手順を実施することで、ハッシュ値の検証を行うことができます。
検証方法
Linux または macOS の場合
次のコマンドを実行することでハッシュ値の検証を行うことができます。
なお、変数 YAMORY_SCRIPT_NAME
の箇所は以下の値がサポートされています。
- gradle
- sbt
- maven
- rubygems
- npm
- pnpm
- yarn
- composer
- gomodules
- pip
- cargo
スキャンスクリプトの取得 URL は環境ごとに異なります。コマンドラインからスキャンする手順を参考に事前に確認、取得しておいてください。
Linux でのコマンド例
$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ sha512sum -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
macOS でのコマンド例
$ YAMORY_SCRIPT_NAME=gradle
$ curl -o yamory-${YAMORY_SCRIPT_NAME}.sh <https://yamory/script/>
$ curl -O https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
$ shasum -a 512 -c yamory-${YAMORY_SCRIPT_NAME}-sha512sum.txt
Windows で NuGet を利用する場合
次のコマンドでハッシュ値を生成し、ダウンロードしたハッシュ値と比較することで検証できます。
> curl.exe -o yamory-nuget.ps1 <https://yamory/script/nuget/powershell>
> $yamory_check_hash = curl.exe https://cli.yamory.io/yamory-app-library-scan-scripts/yamory-nuget-sha512sum.txt
> $yamory_script_hash = (Get-FileHash yamory-nuget.ps1 -Algorithm SHA512).Hash.ToLower()
> if ("${yamory_script_hash} yamory-nuget.ps1" -eq $yamory_check_hash) { "OK" } else { "NG" }