Chapter 2: スキャン機能
プロジェクトの依存ライブラリを検出・分析する
スキャンの実行方法
- 左側のナビゲーションから「スキャン」画面を開きます。
- スキャン対象のプロジェクトフォルダのパスを入力するか、「フォルダを選択」ボタンでフォルダを指定します。
- 「スキャン」ボタンをクリックすると、分析が開始されます。
- スキャンが完了すると、結果がサマリカードとデータグリッドで表示されます。
スキャン対象フォルダには、対応する依存定義ファイル(requirements.txt など)が含まれている必要があります。
対応エコシステムと対応ファイル
| エコシステム | 対応ファイル | プラン |
|---|---|---|
| Python | requirements.txt | Free |
| Python | pyproject.toml | Free |
| Python | poetry.lock | Free |
| Python | uv.lock | Free |
| Node.js | package.json | Pro PRO |
| Node.js | package-lock.json | Pro PRO |
スキャン結果の見方
サマリカード
スキャン完了後、画面上部に以下の 4 つのサマリカードが表示されます。
| カード | 内容 |
|---|---|
| 依存ライブラリ数 | 検出された依存パッケージの総数です。 |
| 脆弱性数 | 既知の脆弱性が検出された件数です。重大度ごとの内訳も表示されます。 |
| ライセンス数 | 検出されたライセンスの種類数です。分類(Approved / Caution / Prohibited / Unknown)ごとの内訳も表示されます。 |
| ポリシー判定 | 全体のポリシー判定結果です。PASS(問題なし)または FAIL(要対応)で表示されます。 |
データグリッド
サマリカードの下に、以下の 3 つのデータグリッド(表)が表示されます。
1. 依存ライブラリ一覧
検出されたすべての依存パッケージの名前、バージョン、エコシステム、ライセンスが表示されます。
2. 脆弱性一覧
検出された脆弱性の ID(CVE 番号など)、影響するパッケージ、重大度(Critical / High / Medium / Low)、説明が表示されます。
3. ライセンス一覧
各パッケージのライセンス SPDX ID と、その分類(Approved / Caution / Prohibited / Unknown)が表示されます。
ポリシー判定が FAIL の場合は、脆弱性一覧やライセンス一覧を確認し、該当する問題に対処してください。
Chapter 2: Scanning
Detect and analyze project dependency libraries
How to Run a Scan
- Open the "Scan" screen from the navigation bar on the left.
- Enter the path to your project folder or click "Select Folder" to browse.
- Click the "Scan" button to start the analysis.
- Once complete, results are displayed as summary cards and data grids.
The target folder must contain supported dependency definition files (e.g., requirements.txt).
Supported Ecosystems and Files
| Ecosystem | Supported Files | Plan |
|---|---|---|
| Python | requirements.txt | Free |
| Python | pyproject.toml | Free |
| Python | poetry.lock | Free |
| Python | uv.lock | Free |
| Node.js | package.json | Pro PRO |
| Node.js | package-lock.json | Pro PRO |
Understanding Scan Results
Summary Cards
After a scan completes, four summary cards are displayed at the top of the screen.
| Card | Description |
|---|---|
| Dependencies | Total number of detected dependency packages. |
| Vulnerabilities | Number of known vulnerabilities found, broken down by severity. |
| Licenses | Number of license types detected, broken down by classification (Approved / Caution / Prohibited / Unknown). |
| Policy | Overall policy result: PASS (no issues) or FAIL (action required). |
Data Grids
Below the summary cards, three data grids (tables) are displayed.
1. Dependencies List
Shows all detected dependency packages with their name, version, ecosystem, and license.
2. Vulnerabilities List
Shows detected vulnerabilities with their ID (e.g., CVE number), affected package, severity (Critical / High / Medium / Low), and description.
3. Licenses List
Shows each package's SPDX license ID and its classification (Approved / Caution / Prohibited / Unknown).
If the policy result is FAIL, review the vulnerability and license lists to address the identified issues.