yamory では、pip によって管理されている Python プロジェクトの脆弱性をスキャンできます。 Python プロジェクトにおけるスキャン対象は以下のドキュメントをご参照ください。
スキャンは、GitHub リポジトリスキャンまたはコマンドラインスキャンで行えます。用途に応じてお選びください。
GitHub リポジトリスキャンの手順に沿って、「スキャン候補リポジトリ選択画面」にて、pip プロジェクトが含まれているリポジトリを選択してください。
pip プロジェクトのスキャンを行う際に requirements.txt が必要となります。pip プロジェクトに requirements.txt がない場合、下記手順を参考に requirements.txt を生成してください。
requirements.txt を生成します。Poetry を使用しているプロジェクトの場合 pyproject.toml があるディレクトリで下記を実行します。
$ poetry export -f requirements.txt --without-hashes | cut -d ';' -f 1 > requirements.txt
<aside> 💡
poetry 2.0以降ではexportコマンドはデフォルトでインストールされなくなりました。別途プラグインをインストール(外部サイトに移動)して実行してください。
</aside>
pipenv を使用しているプロジェクトの場合 pipfile があるディレクトリで下記を実行します。
pipenv v2022.4.8 より前の場合
$ pipenv lock -r | cut -d ';' -f 1 > requirements.txt
pipenv v2022.4.8 以降の場合
$ pipenv requirements > requirements.txt
「コマンドラインから pip プロジェクトをスキャンする」をご参照ください。
pip list --format=freeze によって出力される、利用バージョンを特定可能なソフトウェアがスキャン対象です。
※ pip 9.0.0より前のバージョンを利用している場合は pip freeze をご利用ください。