yamory では、NuGet によって管理されている .NET(C# / Visual Basic / F#)プロジェクトの脆弱性をスキャンできます。 NuGet プロジェクトにおけるスキャン対象は以下のドキュメントをご参照ください。
スキャンは、GitHub リポジトリスキャンまたはコマンドラインスキャンで行えます。用途に応じてお選びください。
.NET プロジェクトのスキャンでは、packages.config 形式、または PackageReference 形式で NuGet にて管理されたパッケージをスキャン対象としています。
| 形式 | スキャンに必要なファイル |
|---|---|
| packages.config 形式 | ・ .csproj, .vbproj, .fsproj のいずれか |
・packages.config |
|
| PackageReference形式 | ・ .csproj, .vbproj, .fsproj のいずれか |
・packages.lock.json , obj/project.assets.jsonのいずれか |
PackageReference 形式のプロジェクトについてPackageReference 形式(主に .NET Core ベースのプロジェクトで使われます)を採用しているプロジェクトでは、packages.lock.json(もしくは obj/project.assets.json)が必要になります。
packages.lock.json はロックファイルを有効化 (外部サイトに移動)した状態で NuGet から PackageReference プロジェクトを復元(dotnet restore 等)することで生成されます。obj/project.assets.json は NuGet から PackageReference プロジェクトを復元(dotnet restore 等)することで生成されます。このファイルは中間出力ファイルのため、前述のロックファイルをご利用されることを推奨いたします。GitHub リポジトリスキャンの手順に沿って、「スキャン候補リポジトリ選択画面」にて、NuGet プロジェクトが含まれているリポジトリを選択してください。