Dependa

OSS を使っていいか判断し、記録して、説明できるツール

SBOM を読み込み、リスクを分類し、レビュー・承認・レポートを支援します。最終判断は人間が行います。

CycloneDX SPDX Python Node.js NuGet ローカル完結

Microsoft Store で入手ユーザーマニュアル

なぜこのツールが必要か

ソフトウェアはオープンソースで構成される時代です。SBOM 管理・ライセンス追跡・脆弱性対応はコンプライアンス義務になりつつあります。

既存ツールの多くは「検出・スキャン」に特化しています。しかし実務で難しいのはレビュー・承認・記録・説明です。

今も Excel やメールで OSS 利用審査を管理していませんか？

Dependa は、スキャン結果や SBOM を受け取った「その先」— レビュー・承認・レポートを支援する OSS ガバナンスツールです。

ダッシュボード — レビュー実績・ワークフロー状態・ポリシー状況を一覧

こんな方に

役割	使う場面	今の方法	Dependa で
情報システム部門	OSS 利用申請のレビュー	Excel で一覧管理	レビュー画面で一元管理
セキュリティ担当	脆弱性・ライセンスの確認	スキャン結果を目視	リスク分類 + 推奨対応を自動提示
法務・コンプライアンス	ライセンス利用可否の確認	ライセンス表を手動照合	ポリシー設定で組織ルールを適用
開発リーダー	OSS 採用の判断	個別に調査	リスク理由 + 根拠で判断材料を整理
監査対応	SBOM 提出・説明	Word でレポート作成	HTML レポートを自動出力
ベンダー管理	納品物の SBOM 確認	確認手段がない	SBOM インポート → レビュー → 記録

いつ使うか

ベンダーから SBOM を受け取ったとき
プロジェクトの OSS 利用状況をレビューするとき
監査用の説明資料を準備するとき
あるコンポーネントをなぜ承認したか説明する必要があるとき
今 Excel で管理している OSS 審査を効率化したいとき

主な機能

リスク分析

ライセンス不明・コピーレフト・脆弱性・AI 利用をリスクとして分類。すべての判定に理由・推奨対応・根拠・確信度が付きます。

レビュー支援

「何を確認すべきか」「どう判断すべきか」を提示。凡例・ガイド・判断テンプレート付きで非技術者でも操作できます。

承認フロー PRO

レビュー中→完了→承認依頼→差し戻し→再開。レビューの進捗と承認状態を一元管理。

レポート出力

監査・上位層向けの HTML / PDF レポート。エグゼクティブサマリー、リスク分析、レビュー結果、免責文を含みます。

SBOM インポート

CycloneDX / SPDX JSON を自動判定して読み込み。Trivy や Syft で生成した SBOM をそのまま使えます。

オンライン補完 PRO

ライセンス不明の項目をパッケージレジストリ（PyPI / npm / NuGet）から補完。レビューを止めません。

レビュー画面 — リスク分類・ガイドパネル・進捗バー・レビュー結果を統合表示

レビュー詳細 — オンライン補完でライセンス解決、レビュー結果を選択して保存

SBOM レビューレポート — リスク内訳・レビュー統計・要対応項目

組織ポリシー — ライセンスごとに許可 / 要承認 / 禁止を設定

プロジェクト管理 — 複数プロジェクトのレビュー履歴を一元管理

Free / Pro

機能	Free	Pro
SBOM インポート	1 ファイル	無制限
リスク分析	全項目表示	全項目表示
レビュー	無制限	無制限
承認フロー	表示のみ	全遷移
レポート出力	透かし付き	完全版
SBOM 差分比較	—	✓
オンライン補完	—	✓
AI Governance レポート	表示のみ	レポート含む
プロジェクト管理	1 件	無制限

Free はリスクを理解するため。Pro は組織として判断を管理・記録するため。

他のツールとの違い

Dependa はスキャナの代替ではなく、分析結果をレビュー・承認・報告するためのツールです。

	Trivy / Syft	Snyk / FOSSA	Excel	Dependa
主な役割	検出	検出 + 管理	記録	レビュー・承認・記録
レビューワークフロー	—	一部	手動	✓
承認フロー	—	—	手動	✓
監査向けレポート	—	ダッシュボード	手動	HTML / PDF
ローカル完結	✓	—	✓	✓

Trivy で SBOM を生成し、Dependa でレビュー。組み合わせて使う設計です。

対応フォーマット

入力形式	対応バージョン
CycloneDX JSON	1.2 / 1.4 / 1.5 / 1.6
SPDX JSON	2.2 / 2.3

対応エコシステム（フォルダスキャン）

エコシステム	対応ファイル
Python	requirements.txt, pyproject.toml, poetry.lock
NuGet (.NET)	.csproj, packages.config
Node.js	package.json, package-lock.json

プライバシー: 分析はすべて PC 上で完結します。オンライン機能はオプションで、有効にした場合のみ公開データベースを参照します。コードやプロジェクト情報がクラウドに送信されることはありません。

Microsoft Store からインストールできます。

▶ Microsoft Store で入手

システム要件

Windows 10 (19041) 以降 / Windows 11
WebView2 Runtime（PDF 出力に必要）
ディスク: 約 80 MB / RAM: 512 MB 以上

免責事項: Dependa はレビュー業務に必要な情報を整理するツールです。法的助言、ライセンスコンプライアンスの保証、専門的なセキュリティ評価の代替を提供するものではありません。最終的な利用判断はユーザーおよび所属組織の責任で行ってください。

ユーザーマニュアル Pro 機能ガイドライセンスと購入サポートプライバシーポリシー利用規約

Dependa

Decide if OSS is safe to use — review, approve, and report

Load an SBOM, classify OSS risks, and manage reviews, approvals, and reports. Final decisions are always made by humans.

CycloneDX SPDX Python Node.js NuGet Local-first

Get it from Microsoft Store User Manual

Why This Tool Exists

Software is built on open source. SBOM management, license tracking, and vulnerability response are becoming compliance obligations.

Most tools focus on detection and scanning. But the harder part is review, approval, documentation, and explanation.

Still managing OSS reviews in Excel, email, and Word documents?

Dependa picks up where scanners leave off — an OSS Governance tool for review, approval, and reporting.

Dashboard — review counts, workflow status, policy compliance at a glance

Who Is This Tool For?

Role	Use Case	Current Method	With Dependa
IT / Security	OSS usage review	Excel spreadsheets	Unified review screen
Security teams	Vulnerability & license check	Manual scan review	Risk classification + recommended actions
Legal / Compliance	License usage decisions	Manual license lookup	Organization policy rules
Engineering leads	OSS adoption decisions	Ad-hoc research	Risk reasons + evidence
Audit preparation	SBOM documentation	Word reports	Auto-generated HTML reports
Vendor management	Reviewing delivered SBOMs	No standard tool	Import → Review → Record

When Do You Use Dependa?

When you receive an SBOM from a vendor
When reviewing OSS usage in a project
When preparing documentation for audits
When explaining why a component was approved
When managing OSS reviews currently tracked in Excel

Key Features

Risk Analysis

Classifies unknown licenses, copyleft, vulnerabilities, and AI usage as risks. Every classification includes reason, recommended action, evidence, and confidence.

Review Support

Shows what to check and how to decide. Includes legends, guides, and decision templates — accessible to non-technical reviewers.

Approval Workflow PRO

In Review → Completed → Pending Approval → Returned → Resume. Track review progress and approval status in one place.

Report Export

Audit-ready HTML / PDF reports with executive summary, risk analysis, review results, and disclaimer.

SBOM Import

Auto-detect CycloneDX and SPDX JSON. Works with SBOMs generated by Trivy, Syft, and other tools.

Online Enrichment PRO

Fetch missing license info from package registries (PyPI / npm / NuGet). Keeps your review moving forward.

Review Screen — risk classification, guide panel, progress bar, review controls

Component details — license info, risk level, PURL, review result selection

SBOM Review Report — risk breakdown, review statistics, action items

Organization Policy — Allowed / Need Approval / Prohibited per license

Project Management — track review history across multiple projects

Free / Pro

Feature	Free	Pro
SBOM Import	1 file	Unlimited
Risk Analysis	Full display	Full display
Review	Unlimited	Unlimited
Approval Workflow	View only	Full transitions
Report Export	With watermark	Full version
SBOM Diff	—	✓
Online Enrichment	—	✓
AI Governance Report	View only	Included in report
Project Management	1 project	Unlimited

Free helps you understand the risks. Pro helps your organization manage and document decisions.

How Dependa Differs

Dependa is not a scanner replacement. It turns analysis results into review, approval, and reports.

	Trivy / Syft	Snyk / FOSSA	Excel	Dependa
Primary role	Detection	Detection + Mgmt	Recording	Review / Approval / Record
Review workflow	—	Partial	Manual	✓
Approval flow	—	—	Manual	✓
Audit-ready report	—	Dashboard	Manual	HTML / PDF
Fully local	✓	—	✓	✓

Generate SBOMs with Trivy, review with Dependa. They work together by design.

Supported Formats

Input Format	Versions
CycloneDX JSON	1.2 / 1.4 / 1.5 / 1.6
SPDX JSON	2.2 / 2.3

Supported Ecosystems (Folder Scan)

Ecosystem	Supported Files
Python	requirements.txt, pyproject.toml, poetry.lock
NuGet (.NET)	.csproj, packages.config
Node.js	package.json, package-lock.json

Privacy: All analysis runs locally. Online features are optional and only query public databases when explicitly enabled. No code or project information is ever sent to the cloud.

Available on Microsoft Store.

▶ Get it from Microsoft Store

System Requirements

Windows 10 (19041) or later / Windows 11
WebView2 Runtime (required for PDF export)
Disk: ~80 MB / RAM: 512 MB+

Disclaimer: Dependa organizes information for review purposes. It does not provide legal advice, guarantee license compliance, or substitute for professional security assessments. Final usage decisions are the responsibility of the user and their organization.

User Manual Pro Features Licensing & Purchase Support Privacy Policy Terms of Use