シフトレフトとDevSecOpsの関係性とは
では、プロダクティビティを高めていくためにどんなことができるのか。ソフトウェア開発ライフサイクル(SDLC)は、DevOpsを導入することによって開発スピードが速くなる。その要因を相澤氏は3つにまとめている。
1つは「継続的なプロセス」。継続的にサイクルを回していけば、継続的にリリースすることができる。2つめは「自律的なチーム」。開発チームがコードを書いてGitにプッシュし、ビルドやテストを経てリリースをするプロセスをすべて行うことで、他のチームに頼らなくてすむ。それを成り立たせる上では、3つめの「作業の自動化」、ツールの活用が非常に重要となる。
最近は、DevOpsにセキュリティの観点を加えた「DevSecOps」という継続的なプロセスが注目されている。開発とセキュリティの間で継続的なプロセス、自律的なチーム作業の自動化を促進していくことで、セキュリティ対策もスピードアップしていくという考え方だ。
ここからは、いくつかのセキュリティ対策に関する悩みに注目しながら、Snykを活用することでどう改善できるのかについて紹介していく。
初期設定・初回スキャンの手間
まずは、「導入の際に、初期設定、初回スキャンに手間がかかる」という悩みである。相澤氏は、実際にSnykを使ったデモを行い、3分弱でインストールから初回スキャンまで行えることを示した。
スキャン結果の共有
「スキャン結果を整理して、他部署に共有するのが面倒」といった悩み。Snykはレポートの機能があるので、特別な作業は必要なく、組織全体で共有することが可能である。
検出された脆弱性の無視
誤検知や実害のない脆弱性の対応など、「ノイズの対応がわずらわしい」といった場合、Snykであれば不要な検査結果はワンクリックで無視することができる。
修正の自動化
「修正作業に時間がかかる」場合は、自動修正、プルリクエストを作成してくれる機能が便利だ。10分以上かかる修正作業が、数十秒ほどでスピーディーに脆弱性修正完了することができるデモも披露された。
高いスキャン精度
「誤検知が多い」という悩みには、高いスキャン精度が頼りになる。Snykでは脆弱性データベースに注力しており、数多くの脆弱性を正確に検知できる「Snyk Vulnerability Database」を提供している。Docker、Red Hat、Google、AWSなど、多くの企業がこのサービスを導入していることからも、確かな信頼性を感じるだろう。
最後に相澤氏は以下のように語り、セッションを締めた。
「シフトレフトはセキュリティ対策における大事なステップであり、マイルストーンです。DevSecOps的なアプローチでセキュリティ対策の生産性を向上させるためにも、Snyk Developer Securityをぜひ試してみてください」(相澤氏)
