DevSecOpsで継続性・自律性・自動化を実現する
それでは、Snykを用いることで、開発者にどのようなメリットがあるのか。相澤氏は、「DevOpsからDevSecOpsへ」というコンセプトを提示。DevOpsでは、開発者がコードを書き、ビルド、テスト、デプロイまで一気にエンドツーエンドで担い、継続的に改善を行なうことができる。DevSecOpsでは、それがセキュリティにおいても同様に可能となり、スピーディに開発できる。
相澤氏はDevOpsを実現する要素について次のように分解して説明した。まずコード作成からデプロイまで”継続的なプロセス”が可能になること。そして、継続的なプロセスを実現するには、他に依存することなく開発者が自律的に進められる組織であること。その自律性を担保するためには、作業の自動化またはそのためのツールの活用が必須となる。
ここにセキュリティまで組み込んでしまうのが、DevSecOpsの考え方だ。開発やデプロイだけでなく、セキュリティのチェックも組み込まれる。しかも「継続的なプロセス」としてだ。そのためには、セキュリティのプロセスが自律的に行われ、自動化されていることが重要になる。
まさに、これを実現するのがSnykの「Developer Security プラットフォーム」だ。5つの製品によって、さまざまなクラウドネイティブなコードがサポートされる。さらに開発者に向けて開発ツールとして提供されるのも、Snykならではのユニークネスであり、DevSecOps実現への意欲が伺えるところだ。相澤氏は「セキュリティを苦手とする開発者でも、自分でスキャンし、そこで脆弱性が発見されれば自分で修正できるようサポートする」と語った。
