yamoryでは、Swift Package Manager によって管理されている Swift プロジェクトの脆弱性をスキャンできます。
Swift プロジェクトにおけるスキャン対象は以下のドキュメントをご参照ください。
スキャンは、GitHub リポジトリスキャン、またはコマンドラインスキャンで行えます。用途に応じてお選びください。
Swift プロジェクトのスキャンには、2つの方式があります。
Package.resolved ファイルを解析してスキャンを行います。swift package show-dependencies コマンドを実行して依存関係情報を取得し、スキャンを行います。プロジェクトの構成に応じて、以下の方法を推奨します。
swift package show-dependencies コマンドを使用することで、完全な依存関係ツリー(直接依存・間接依存の区別)を取得でき、より高精度なスキャンが可能です。Package.resolved ファイルから依存パッケージ情報を取得してスキャンを行います。基本的に、コマンドラインスキャンの方が依存関係の情報をより詳細に取得できるため、スキャン精度が高くなります。