「Swift Package Manager （SwiftPM）」のスキャンに正式対応

Apple社公式のパッケージ管理ツール「Swift Package Manager （SwiftPM）」の脆弱性スキャンに正式対応したことをお知らせします。

これにより、iOSやmacOSなどAppleプラットフォーム向けアプリケーションの開発において、主流となりつつあるSwiftPMで管理される依存関係に潜むオープンソース（OSS）の脆弱性を、自動で検知・一元管理できるようになります。

Swift Package Manager （SwiftPM） は、Apple社が公式に提供するパッケージ管理ツールです。Xcodeに深く統合され、Package.swift というSwiftコードベースのシンプルな設定ファイルで依存関係を管理できることから、CocoaPodsやCarthageと並び、特に新規プロジェクトやモダンな開発体制において急速に採用が拡大しています。
SwiftPMの普及は開発の効率化に貢献する一方で、利用するオープンソースパッケージに潜む脆弱性リスクへの対応が新たな課題となっています。

そこでyamoryは、SwiftPMで管理される依存関係のスキャンに正式対応しました。
Package.swift や Package.resolved ファイルを解析することで、プロジェクトが利用しているSwiftパッケージとそのバージョンを特定し、既知の脆弱性情報と自動で照合します。

・開発フローを妨げないシームレスな脆弱性管理
Xcodeに統合されたSwiftPMのシンプルな管理体制を活かしたまま、脆弱性スキャンをCI/CDパイプラインなどに容易に組み込むことが可能です。開発者はセキュリティチェックのために複雑な手順を追加したり、開発フローを大きく変更したりする必要はありません。

・依存関係の脆弱性を自動で検知、一元管理
SwiftPMで管理されているライブラリを一括でスキャンすることで、脆弱性を自動で検知し、ダッシュボード上で一元管理できます。他の言語やパッケージマネージャーで管理されている脆弱性と合わせて、全社的なセキュリティリスクを横断的に把握できます。