Chapter 5: レポートと SBOM
HTML レポート・CycloneDX SBOM の生成と活用
HTML レポートの構成
スキャン完了後に生成される HTML レポートは、ブラウザで開けるスタンドアロンファイルです。以下のセクションで構成されています。
| セクション | 内容 |
|---|---|
| ヘッダ | プロジェクト名、スキャン日時、Dependa バージョンが表示されます。 |
| サマリ | 依存ライブラリ数、脆弱性数、ライセンス分類の概要をカード形式で表示します。 |
| ポリシー判定 | PASS / FAIL の判定結果と、FAIL の場合はその理由が表示されます。 |
| 依存ライブラリ表 | 検出されたすべてのパッケージの名前、バージョン、エコシステム、ライセンスの一覧です。 |
| 脆弱性表 | 検出された脆弱性の ID、影響パッケージ、CVSS スコア、重大度、説明の一覧です。 |
| ライセンス表 | 各パッケージのライセンス SPDX ID と分類(Approved / Caution / Prohibited / Unknown)の一覧です。 |
| 推奨事項 | 検出された問題に対する対処の提案(バージョンの更新、ライセンスの確認など)が記載されます。 |
レポートの閲覧方法
- ブラウザで開く: 生成された HTML ファイルをダブルクリックするだけで、ブラウザに表示されます。インターネット接続は不要です。
- 印刷: ブラウザの印刷機能(Ctrl+P)を使って、紙に印刷したり PDF に変換したりできます。レポートは印刷用に最適化されたスタイルが適用されます。
- 共有: HTML ファイルをそのままメールやファイル共有で送付できます。受け取った方もブラウザだけで閲覧できます。
SBOM 出力(CycloneDX 1.5 JSON)
SBOM(Software Bill of Materials)とは、ソフトウェアに含まれるすべての部品(依存ライブラリ)のリストのことです。「ソフトウェアの部品表」とも呼ばれます。
Dependa は CycloneDX 1.5 形式の JSON ファイルとして SBOM を出力します。
- CycloneDX は国際的に広く採用されている SBOM 標準フォーマットです。
- セキュリティ監査やコンプライアンス対応で求められる場面で活用できます。
- 他の SBOM 対応ツール(Dependency-Track など)にインポートして利用することも可能です。
出力先
レポートと SBOM はスキャン対象プロジェクトの reports/ フォルダに出力されます。
{スキャン対象パス}/
reports/
dependa-report-2026-03-13.html ← HTML レポート
dependa-sbom-2026-03-13.json ← CycloneDX SBOMスキャンのたびにタイムスタンプ付きの新しいファイルが生成されます。過去のレポートも残るため、変化の比較に活用できます。
Chapter 5: Reports & SBOM
Generate and use HTML reports and CycloneDX SBOM
HTML Report Structure
The HTML report generated after a scan is a standalone file that can be opened in any browser. It consists of the following sections.
| Section | Content |
|---|---|
| Header | Displays the project name, scan date/time, and Dependa version. |
| Summary | Shows dependency count, vulnerability count, and license classification overview in card format. |
| Policy Result | Displays the PASS / FAIL result, along with reasons if FAIL. |
| Dependencies Table | Lists all detected packages with name, version, ecosystem, and license. |
| Vulnerabilities Table | Lists detected vulnerabilities with ID, affected package, CVSS score, severity, and description. |
| Licenses Table | Lists each package's SPDX license ID and classification (Approved / Caution / Prohibited / Unknown). |
| Recommendations | Provides suggested actions for detected issues (e.g., update versions, review licenses). |
Viewing Reports
- Open in browser: Simply double-click the generated HTML file to view it in your browser. No internet connection is required.
- Print: Use the browser's print function (Ctrl+P) to print on paper or convert to PDF. The report includes print-optimized styles.
- Share: Send the HTML file as-is via email or file sharing. Recipients can view it with just a browser.
SBOM Output (CycloneDX 1.5 JSON)
An SBOM (Software Bill of Materials) is a complete list of all components (dependency libraries) included in your software. It is sometimes called a "software parts list."
Dependa outputs SBOMs as CycloneDX 1.5 format JSON files.
- CycloneDX is an internationally adopted SBOM standard format.
- Useful for security audits and compliance requirements.
- Can be imported into other SBOM-compatible tools (e.g., Dependency-Track).
Output Location
Reports and SBOM files are saved in the reports/ folder within the scanned project directory.
{Target Path}/
reports/
dependa-report-2026-03-13.html ← HTML Report
dependa-sbom-2026-03-13.json ← CycloneDX SBOMEach scan generates new timestamped files. Previous reports are preserved, making it easy to compare changes over time.