Chapter 5: レポートと SBOM
v2.0 レポート構成 — Executive Summary・Action Required・リスク分析
v2.0 HTML レポートの構成
スキャンまたは SBOM インポート後に生成される HTML レポートは、ブラウザで開けるスタンドアロンファイルです。v2.0 では以下のセクションで構成されています。
| セクション | 内容 |
|---|---|
| ヘッダ | プロジェクト名、スキャン日時、Dependa バージョン(v2.0)が表示されます。 |
| Executive Summary | レビュー統計(レビュー済み件数、リスク別件数)、依存ライブラリ数、脆弱性サマリ、ライセンス分類サマリをカード形式で表示します。 |
| Action Required | 対処が必要なアイテムの一覧です。High Risk / Risk に該当するパッケージとその推奨アクションが表示されます。 |
| リスク分析 | 各パッケージのリスク詳細です。RiskReason(リスクの理由)、RecommendedAction(推奨アクション)、Evidence(根拠)、Confidence(確信度)が含まれます。 |
| ポリシー判定 | 適用ポリシー名、アクション別件数(許可 / 要承認 / 禁止)が表示されます。 |
| 依存ライブラリ表 | 検出されたすべてのパッケージの名前、バージョン、エコシステム、ライセンス、リスクレベルの一覧です。 |
| 脆弱性表 | 検出された脆弱性の ID、影響パッケージ、CVSS スコア、重大度、説明の一覧です。 |
| ライセンス表 | 各パッケージのライセンス SPDX ID と分類(High Risk / Risk / Known-Normal / Unknown)の一覧です。 |
| AI セクション | AI Governance 分析の結果サマリ(AI BOM、Excessive Agency、Data Sovereignty)が含まれます。 |
| 免責事項(Disclaimer) | レポートの利用に関する免責事項が記載されます。 |
Free 版と Pro 版のレポートの違い
| 項目 | Free | Pro |
|---|---|---|
| ウォーターマーク | 「Free Edition」の透かしあり | なし |
| Executive Summary | 基本情報のみ | レビュー統計付き |
| Action Required | ✓ | ✓ |
| リスク分析詳細 | 簡易版 | 完全版(Evidence / Confidence 含む) |
レポートの閲覧方法
- ブラウザで開く: 生成された HTML ファイルをダブルクリックするだけで、ブラウザに表示されます。インターネット接続は不要です。
- 印刷: ブラウザの印刷機能(Ctrl+P)を使って、紙に印刷したり PDF に変換したりできます。レポートは印刷用に最適化されたスタイルが適用されます。
- 共有: HTML ファイルをそのままメールやファイル共有で送付できます。受け取った方もブラウザだけで閲覧できます。
SBOM 出力(CycloneDX 1.5 JSON)
SBOM(Software Bill of Materials)とは、ソフトウェアに含まれるすべての部品(依存ライブラリ)のリストのことです。「ソフトウェアの部品表」とも呼ばれます。
Dependa は CycloneDX 1.5 形式の JSON ファイルとして SBOM を出力します。
- CycloneDX は国際的に広く採用されている SBOM 標準フォーマットです。
- セキュリティ監査やコンプライアンス対応で求められる場面で活用できます。
- 他の SBOM 対応ツール(Dependency-Track など)にインポートして利用することも可能です。
出力先
レポートと SBOM はスキャン対象プロジェクトの reports/ フォルダに出力されます。
{スキャン対象パス}/
reports/
dependa-report-2026-04-01.html ← HTML レポート
dependa-sbom-2026-04-01.json ← CycloneDX SBOMスキャンのたびにタイムスタンプ付きの新しいファイルが生成されます。過去のレポートも残るため、変化の比較に活用できます。
Chapter 5: Reports & SBOM
v2.0 report structure — Executive Summary, Action Required, Risk Analysis
v2.0 HTML Report Structure
The HTML report generated after a scan or SBOM import is a standalone file that can be opened in any browser. In v2.0, it consists of the following sections:
| Section | Content |
|---|---|
| Header | Displays the project name, scan date/time, and Dependa version (v2.0). |
| Executive Summary | Review statistics (reviewed count, risk breakdown), dependency count, vulnerability summary, and license classification summary in card format. |
| Action Required | List of items requiring attention. Shows High Risk / Risk packages with their recommended actions. |
| Risk Analysis | Detailed risk information per package: RiskReason, RecommendedAction, Evidence, and Confidence. |
| Policy Result | Applied policy name and action count breakdown (Allowed / NeedApproval / Prohibited). |
| Dependencies Table | Lists all detected packages with name, version, ecosystem, license, and risk level. |
| Vulnerabilities Table | Lists detected vulnerabilities with ID, affected package, CVSS score, severity, and description. |
| Licenses Table | Lists each package's SPDX license ID and classification (High Risk / Risk / Known-Normal / Unknown). |
| AI Section | AI Governance analysis summary (AI BOM, Excessive Agency, Data Sovereignty). |
| Disclaimer | Legal disclaimer regarding report usage. |
Free vs Pro Report Differences
| Item | Free | Pro |
|---|---|---|
| Watermark | "Free Edition" watermark present | None |
| Executive Summary | Basic information only | Includes review statistics |
| Action Required | ✓ | ✓ |
| Risk Analysis Detail | Simplified | Full (includes Evidence / Confidence) |
Viewing Reports
- Open in browser: Simply double-click the generated HTML file to view it in your browser. No internet connection is required.
- Print: Use the browser's print function (Ctrl+P) to print on paper or convert to PDF. The report includes print-optimized styles.
- Share: Send the HTML file as-is via email or file sharing. Recipients can view it with just a browser.
SBOM Output (CycloneDX 1.5 JSON)
An SBOM (Software Bill of Materials) is a complete list of all components (dependency libraries) included in your software. It is sometimes called a "software parts list."
Dependa outputs SBOMs as CycloneDX 1.5 format JSON files.
- CycloneDX is an internationally adopted SBOM standard format.
- Useful for security audits and compliance requirements.
- Can be imported into other SBOM-compatible tools (e.g., Dependency-Track).
Output Location
Reports and SBOM files are saved in the reports/ folder within the scanned project directory.
{Target Path}/
reports/
dependa-report-2026-04-01.html ← HTML Report
dependa-sbom-2026-04-01.json ← CycloneDX SBOMEach scan generates new timestamped files. Previous reports are preserved, making it easy to compare changes over time.