yamory では、NuGet によって管理されている .NET(C# / Visual Basic / F#)プロジェクトの脆弱性をスキャンできます。 NuGet プロジェクトにおけるスキャン対象はこちらをご参照ください。
スキャンは、GitHub リポジトリスキャンまたはコマンドラインスキャンで行えます。用途に応じてお選びください。
.NET プロジェクトのスキャンでは、packages.config 形式、または PackageReference 形式で NuGet にて管理されたパッケージをスキャン対象としています。
| 形式 | スキャンに必要なファイル |
|---|---|
| packages.config 形式 | ・ .csproj, .vbproj, .fsproj のいずれか |
・packages.config |
|
| PackageReference形式 | ・ .csproj, .vbproj, .fsproj のいずれか |
・packages.lock.json , obj/project.assets.jsonのいずれか |
PackageReference 形式のプロジェクトについてPackageReference 形式(主に .NET Core ベースのプロジェクトで使われます)を採用しているプロジェクトでは、packages.lock.json(もしくは obj/project.assets.json)が必要になります。
packages.lock.json はロックファイルを有効化 (外部サイトに移動)した状態で NuGet から PackageReference プロジェクトを復元(dotnet restore 等)することで生成されます。obj/project.assets.json は NuGet から PackageReference プロジェクトを復元(dotnet restore 等)することで生成されます。このファイルは中間出力ファイルのため、前述のロックファイルをご利用されることを推奨いたします。GitHub リポジトリスキャンの手順に沿って、「スキャン候補リポジトリ選択画面」にて、NuGet プロジェクトが含まれているリポジトリを選択してください。