Snyk Developer Securityプラットフォーム活用のメリット
続いては、Snykが推奨するDeveloper Securityについて解説が行われた。繰り返しになるが、Developer Securityとは自身の開発したアプリケーションに対して、開発者が脆弱性のスキャンを行うこと。デベロッパーが主役のセキュリティ対策である。
Snyk Developer Securityのツールを使えば、開発者自身がソフトウェア開発ライフサイクル(SDLC)全体でセキュリティ対策が実行できる。さらに、「セキュリティ担当と開発者、両方のチームに使っていただける点がポイント」だと、相澤氏は強調する。
具体的な流れとしては、コーディングをしながらIDEと連携して、脆弱性をスキャンする。見つかったらその場で修正をする。Gitと連携して、さらにCI/CDにSnykのスキャンを組み込んで、使うことも可能だ。さらに、本番環境やクラウド環境で稼働するアプリケーションに混入する新たな脆弱性、例えばLog4Shellなどにも対応することができる。
「それぞれのフェーズで、これまでの開発ツールを使いながら連携することができるのも、Snykらしい特徴。一つのプラットフォームでコードから混入する脆弱性全体へ対策することが可能なのです」(相澤氏)
クラウド時代のモダンなアプリケーションのプラットフォーム構造に当てはめると、それぞれの4つのコードに対し、SnykはSnyk Code、Snyk Open Source、Snyk Container、Snyk laCという4つの製品で脆弱性対応ができる。
Snykは無料で使えるフリープランを提供しており、このプランでは月間のテスト回数に制限がある。その場合でもパブリックリポジトリを対象とする場合は、Snyk Open Sourceのテストは回数無制限で使うことができる。
Snyk Developer Securityプラットフォームの特徴は、以下の4つが挙げられる。
- デベロッパーファーストへのこだわり(開発ワークフローへの統合)
- 業界トップレベルの脆弱性データベース
- 脆弱性の自動修正、Priority Scoreによるトリアージの機能
- 情報セキュリティガバナンスを支える一元的な管理機能