アプリライブラリスキャンでサポートしている言語・パッケージ管理(ビルド)システムおよびスキャン対象は次のとおりです。
| 主な言語 | パッケージ管理・ビルドシステム | GitHub リポジトリスキャン | コマンドラインスキャン |
|---|---|---|---|
| Java/Kotlin | Maven | pom.xml |
mvn コマンド出力結果, |
pom.xml |
|||
| Java/Kotlin | Gradle | build.gradle |
gradle コマンド出力結果, |
build.gradle, |
|||
build.gradle.kts |
|||
| Java/Kotlin | Android (Gradle) | build.gradle |
gradle コマンド出力結果, |
build.gradle, |
|||
build.gradle.kts |
|||
| Scala | sbt | build.sbt, Dependencies.scala |
sbt コマンド出力結果, |
build.sbt |
|||
| JavaScript/TypeScript | npm | package.json, package-lock.json |
package.json, package-lock.json |
| JavaScript/TypeScript | pnpm | package.json, pnpm-lock.yaml, pnpm-workspace.yaml |
package.json, pnpm-lock.yaml |
| JavaScript/TypeScript | Yarn | package.json, yarn.lock |
package.json, yarn.lock |
| PHP | Composer | composer.json, composer.lock |
composer.json, composer.lock |
| Python | pip | requirements.txt(pip list --format=freeze されたもの) |
requirements.txt(pip list --format=freeze されたもの) |
| Python | Poetry | 未対応 | Python のプロジェクトをスキャンするを参照 |
| Python | Pipenv | 未対応 | Python のプロジェクトをスキャンするを参照 |
| Ruby | Bundler (RubyGems) | Gemfile.lock |
Gemfile.lock |
| C#/Visual Basic/F#(.NET) | NuGet | .csproj, .vbproj, .fsproj, packages.config, obj/project.assets.json, packages.lock.json |
.csproj, .vbproj, .fsproj, packages.config, obj/project.assets.json, packages.lock.json |
| Go | Go Modules | go.sum, go.mod |
go.sum, go.mod |
| Rust | Cargo | Cargo.toml, Cargo.lock |
Cargo.toml, Cargo.lock |
| Dart | pub | pubspec.yaml, pubspec.lock |
dart pub deps コマンド出力結果, |
pubspec.yaml |
|||
| Elixir | mix | mix.exs mix.lock |
mix.exs mix.lock |
| Swift | Swift Package Manager | Package.resolved |
swift package show-dependencies コマンド出力結果 |
※ ランタイムEOLを管理したい場合は一部スキャン対象が追加で必要となります。 詳細は以下のドキュメントをご参照ください。
※ クラウドアセットスキャンはサポート範囲が異なります。 クラウドアセットスキャンのスキャン対象については以下のドキュメントをご参照ください。
※ クラウドアセットスキャンでは、ランタイムEOLはサポート対象外です。
yamoryでは、オープンソースの脆弱性スキャナーである Trivy を統合し、trivy fs コマンドを使用したコマンドラインスキャンに対応しています。
以下の言語・パッケージ管理システムが Trivy を使用したスキャンで利用可能です。
| 主な言語 | パッケージ管理・ビルドシステム | スキャン対象ファイル |
|---|---|---|
| Java/Kotlin | Maven | pom.xml |
| Java/Kotlin | Gradle | gradle.lockfile |
| Scala | sbt | *.sbt.lock |
| JavaScript/TypeScript | npm | package-lock.json |
| JavaScript/TypeScript | pnpm | pnpm-lock.yaml |
| JavaScript/TypeScript | Yarn | yarn.lock |
| JavaScript/TypeScript | bun | bun.lock |
| PHP | Composer | composer.lock |
| Python | pip | requirements.txt |
| Python | Poetry | poetry.lock |
| Python | Pipenv | Pipfile.lock |
| Python | uv | uv.lock |
| Ruby | Bundler (RubyGems) | Gemfile.lock |
| C#/Visual Basic/F#(.NET) | NuGet | packages.lock.json, packages.config, .deps.json, Packages.props |
| Go | Go Modules | go.mod |
| Rust | Cargo | Cargo.lock |
| Dart | pub | pubspec.lock |
| Elixir | mix | mix.lock |
| Swift | Swift Package Manager | Package.resolved |
ホストスキャンでサポートしている OS・ディストリビューション、サポートバージョンは次のとおりです。 Linux は、x64 アーキテクチャおよび、AWS Graviton シリーズを含む ARMv8 アーキテクチャをサポートしています。
| OS | ディストリビューション | サポートバージョン |
|---|---|---|
| Linux | Ubuntu | 14.04, 16.04, 18.04, 20.04, 22.04, 24.04 |
| Linux | Red Hat Enterprise Linux(※1)/ CentOS(※2) | 5, 6, 7, 8, 9, 10 |
| Linux | Debian | 7, 8, 9, 10, 11, 12, 13 |
| Linux | Amazon Linux(※3) | 1, 2, 2023 |
| Linux | Oracle Linux | 5, 6, 7, 8, 9, 10 |
| FreeBSD | FreeBSD (※4, ※5) | 11, 12, 13, 14 |
| Windows | Windows Server (※6) | 2012 R2, 2016, 2019, 2022, 2025 |
※1 MIRACLE LINUX, Rocky Linux, AlmaLinux についても、Red Hat Enterprise Linux 互換 OS として、スキャンと脆弱性の検知が可能です。スキャン時にdistribution: redhatを指定する必要があります。詳細は scanコマンド 解説ページ をご確認ください。
※2 CentOS Stream は未対応
※3 すべてのリージョンで利用可能