SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2022 Summer レポート(AD)

セキュリティ対策とDevOpsを効率的に加速する「シフトレフト」の実践法とは?【デブサミ2022夏】

【D-2】シフトレフトがゴールなの?セキュリティだってプロダクティビティで勝負!

  • X ポスト
  • このエントリーをはてなブックマークに追加

シフトレフトとDevSecOpsの関係性とは

 では、プロダクティビティを高めていくためにどんなことができるのか。ソフトウェア開発ライフサイクル(SDLC)は、DevOpsを導入することによって開発スピードが速くなる。その要因を相澤氏は3つにまとめている。

 1つは「継続的なプロセス」。継続的にサイクルを回していけば、継続的にリリースすることができる。2つめは「自律的なチーム」。開発チームがコードを書いてGitにプッシュし、ビルドやテストを経てリリースをするプロセスをすべて行うことで、他のチームに頼らなくてすむ。それを成り立たせる上では、3つめの「作業の自動化」、ツールの活用が非常に重要となる。

 最近は、DevOpsにセキュリティの観点を加えた「DevSecOps」という継続的なプロセスが注目されている。開発とセキュリティの間で継続的なプロセス、自律的なチーム作業の自動化を促進していくことで、セキュリティ対策もスピードアップしていくという考え方だ。

DevSecOps
DevSecOps

 ここからは、いくつかのセキュリティ対策に関する悩みに注目しながら、Snykを活用することでどう改善できるのかについて紹介していく。

初期設定・初回スキャンの手間

 まずは、「導入の際に、初期設定、初回スキャンに手間がかかる」という悩みである。相澤氏は、実際にSnykを使ったデモを行い、3分弱でインストールから初回スキャンまで行えることを示した。

スキャン結果の共有

 「スキャン結果を整理して、他部署に共有するのが面倒」といった悩み。Snykはレポートの機能があるので、特別な作業は必要なく、組織全体で共有することが可能である。

検出された脆弱性の無視

 誤検知や実害のない脆弱性の対応など、「ノイズの対応がわずらわしい」といった場合、Snykであれば不要な検査結果はワンクリックで無視することができる。

修正の自動化

 「修正作業に時間がかかる」場合は、自動修正、プルリクエストを作成してくれる機能が便利だ。10分以上かかる修正作業が、数十秒ほどでスピーディーに脆弱性修正完了することができるデモも披露された。

高いスキャン精度

 「誤検知が多い」という悩みには、高いスキャン精度が頼りになる。Snykでは脆弱性データベースに注力しており、数多くの脆弱性を正確に検知できる「Snyk Vulnerability Database」を提供している。Docker、Red Hat、Google、AWSなど、多くの企業がこのサービスを導入していることからも、確かな信頼性を感じるだろう。

 最後に相澤氏は以下のように語り、セッションを締めた。

 「シフトレフトはセキュリティ対策における大事なステップであり、マイルストーンです。DevSecOps的なアプローチでセキュリティ対策の生産性を向上させるためにも、Snyk Developer Securityをぜひ試してみてください」(相澤氏)

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Developers Summit 2022 Summer レポート連載記事一覧

もっと読む

この記事の著者

馬場 美由紀(ババ ミユキ)

 エンジニアとテクノロジーが好きな編集・ライター。エンジニア向けキャリアサイト「Tech総研」「CodeIQ MAGAZINE」、Web技術者向けの情報メディア「HTML5 Experts.jp」などでライティング、コンテンツディレクション、イベント企画などを行う。HTML5 開発者コミュニティ「h...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/16318 2022/09/02 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング