SnykLaunch 2023年4月 - 新機能と最新製品情報の発表： C/C++ 拡張機能、クラウドおよび IaC アップデート、カスタムコンテナセキュリティ、新しい統合機能、その他

2023年4月に開催した SnykLaunchウェビナーでは、Snykの新機能や最新の製品情報を発表しました。これまでと同様、最先端の開発手法に適応するセキュリティを提供することに注力しています。ほんの数年前と比較しても、ますます多くのエンジニアチームがより迅速に開発を行うようになりました。また、クラウドがコードとして管理されるようになっていますし、ソフトウェアサプライチェーンはより複雑になっています。

最近の開発手法が大きく変化してきているため、セキュリティ部門はその変化に適応するために苦労しています。とはいえ、旧式のセキュリティが、開発や DevOps の足を引っ張ることがあってはいけません。そのため、企業はデベロッパーセキュリティを高め、革新的かつ安全にアプリケーションを構築する必要があります。

CPO（最高製品責任者）のマノジ・ナイル（Manoj Nair）とエンジニアリング担当 SVP のパット・ポールズ（Pat Poels）は、デベロッパーセキュリティのビジョンについて説明しました。その中で、Snyk のデベロッパーセキュリティプラットフォームの基盤となる、デベロッパーセキュリティの 5 つの原則をご紹介します。 

• エンジニアが使いやすい\: ワークフローへの統合、トレーニングコンテンツ、自動化

• 修正が容易\: 脆弱性の発見と修正に関する優先順位の設定、見える化、修正、自動化 

• 拡張しやすく高度なセキュリティ\: カバー範囲、ポリシー、既存のセキュリティエコシステムへの統合 

• アプリケーション全体の安全性をカバー\: コードからクラウドまで、コンテキスト情報をあらゆる角度から提供

• DevSecOps の実現を可能に\: 一元化プラットフォーム、信頼できる唯一の情報源、マルチクラウド

Snyk では、これらの原則を基礎に新機能を開発しました。それでは早速、SnykLaunch 2023年4月 でお話しした内容を詳しく見ていきましょう。

C/C++ for Snyk Code および Open Source

Snyk Code シニアプロダクトマネージャーのロイ・ラム（Roy Ram）と、Snyk Open Source シニアプロダクトマネージャーのネハ・シェノイ（Neha Shenoy） が、Snyk の最新の言語機能、つまり C/C++ for Snyk Code（ファーストパーティコードスキャナー）およびSnyk Open Source（サードパーティコンポーネントのセキュリティを確保する Snyk ツール）について説明しました。 

40 年近い実績があるこのエコシステムに対して、セキュリティを提供できることは大変光栄です。C/C++ のセキュリティを確保するためには、専門的なアプローチが求められます。その構造（あるいは、構造がないこと）は、他の言語とは明確に異なります。同じ効果を達成するために、コードを書く方法は多岐にわたります。そのため、単純なパターンマッチング技術を使用してセキュリティ問題を特定することが困難になることがあります。C/C++ が成熟した時期は、一元的なパッケージ管理が広く普及する前であったため、使用されているオープンソースのモジュールやライセンスを特定することも困難です。 

この複雑なエコシステムでは、開発者のために構築されたセキュリティソリューションという新しいアプローチが必要になります。ただし、開発者は C/C++ と他の複数の言語を併用することが多いため、特定の言語でセキュリティを確保できる以上のソリューションが求められます。すべての言語で共通することがあります。それは、開発者向けに特別に設計されたアプリケーションセキュリティツールを使用しない場合、開発者の生産性の低下、低い ROI、リスクの増大、そして最終的にはプロジェクトステータスに対する全体的な可視性の低下を招くということです。

今回、C/C++ for Snyk Codeのオープンベータ版と、Snyk Open Source における C/C++ パッケージカバレッジとライセンスサポートを発表できることを嬉しく思っています。Snyk のSAST および SCA ツールは、他の製品と同様の特徴を持っています。つまり、スキャンにかかる時間は他のツールより最大 100 倍高速で、IDE など開発者のツールにシームレスに統合できますし、正確性が高まります。加えて、実行可能な脆弱性修正への対策が提供されます。また、すべてが C/C++ のエコシステムと連動するように特別に調整されています。 

デモでは、開発者がネイティブ IDE ファーストパーティのコードやサードパーティのコンポーネントから C/C++ の脆弱性を直接発見して修正する方法を示し、セキュリティチームが Snyk UI ですべての脆弱性を表示する方法についてもご紹介しました。

IaC のクラウド問題を解決するSnyk Cloud

続いて、Snyk シニアソフトウェアエンジニアのアガタ・クライェフスカ（Agata Krajewska）とプロダクトマーケティングディレクターのアンソニー・ラーキン（Anthony Larkin）が、Snyk Cloud ツールの新機能、特に IaC でクラウドの問題を発見して修正する機能を紹介しました。 

多くの場合、クラウドアーキテクチャとセキュリティを担当するチームが分かれていることで、共同作業が困難になることがあります。問題が発生すると、セキュリティチームはクラウド開発の責任を持つエンジニアをマニュアルで特定しなければなりません。その後、エンジニアリングチームはクラウドセキュリティアラートを一つひとつ手動で実際のソースまで調べる必要があり、時間とリソースが無駄になります。このプロセスが遅くなることで、多くのチームは「ClickOps」に陥ります。つまり、クラウドの問題を本番環境で直接修正することで、設定のズレなど、より深刻な問題を引き起こすことになります。

Snyk Cloud の新しい機能により、チームはクラウドの問題をソースから直接修正できるようになります。私たちは監査結果を提示するのではなく、修正の実用的なヒントを提供することを重視しています。この新しい機能により、セキュリティチームやクラウドアーキテクトは、IaC ソースコード内のクラウドの問題を修正する必要がある箇所をすぐに確認することができます。これにより、コードが書かれた直後からクラウドの問題を修正できるようになります。 

「IaC で問題を解決する」新機能が実際に動作している様子は、SnykLaunch の録画（英語）でご覧いただけます。 

ソフトウェアサプライチェーンのためのコンテナセキュリティワークフローの構築

次に、Snyk プロダクトマーケティングディレクターのジェイミー・スミス（Jamie Smith）とシニアプロダクトマネージャーのハダー・ムタイ（Hadar Muta）が、Snyk Container の更新されたワークフローオプションについて説明しました。

最近のアプリケーションは、一から作るのではなく、組み立てて開発しています。コンテナのユーザーは、新しいコンテナをゼロから作成するのではなく、事前に構築されたベースイメージの上に新しいコンテナを構築するというコンセプトに精通しています。Docker は、イメージをビルドするための最も人気で有名な環境です。多くの企業では、社内でイメージをさらに強化し、カスタマイズして、自分たちのニーズに合わせて、社内の「ゴールデン」イメージの上にアプリケーションを構築することを好みます。このようなカスタマイズされたイメージワークフローを設定するためにはいくつかの方法がありますが、2023 年 4 月現在、Snyk Container ではこのような複雑で階層化されたコンテナワークフローに対して今までに類のないサポートが提供されています。 

Snyk では、拡張されたカスタムベースイメージの推奨ロジックにより、この種の多様なワークフローをサポートしています。この機能により、プラットフォームチームは Docker（または Red Hat、またはその他）からイメージを取得し、自社のニーズに応じて強化してカスタマイズし、Snyk がモニタリングする任意のコンテナイメージをカスタムベースイメージとしてマークできます。開発者がこのワークフローに従うなら、もはや提供された「ゴールデン」イメージに存在する可能性のある脆弱性のアラートを見る必要はありません。Snyk が提供するガイダンスに従って、自社のアプリケーションを常に最新の状態に保ち、追加される可能性のある脆弱性の修正を確認するだけで済みます。

コンテナビルドチェーンに求められる規模や自動化に対応するため、新しいコンテナ機能には、複雑なエンタープライズワークフローのための以下のような機能も含まれています。

• API サポートによるビルドワークフローの自動化およびカスタマイズ

• 社内ベースイメージをバージョン管理するカスタムスキーマ

• プルリクエストの自動生成：社内のベースイメージに構築されたアプリが、最新の優先ベースイメージを使用するように自動的に更新される

開発者がベースイメージの脆弱性を心配する必要がないようにすることが目標です。SnykLaunch 2023年4月では、ベースイメージの推奨ワークフローに関するデモも行いました。

エンタープライズツール全体でのソフトウェアサプライチェーンの可視化 

Snyk シニアソリューションアーキテクトのマルコ・モラレス（Marco Morales）、そして ServiceNow シニアパートナーソリューションアーキテクトのアキラ・マナゴリ（Akhila Managoli）氏が、安全な開発プロセスで企業の可視化をどのように促進しているかについて話しました。 

Snykは、開発者が日々使用するツールと統合された、開発者セキュリティのためのエンタープライズツールです。それでも、企業のセキュリティと脆弱性管理チームは別ツールを使用しています。そして、オペレーションとプラットフォームチームはまた別のツールを使用しています。本当の意味でのDevSecOps を実現するには、これらのツールがすべて連携して可視性を高め、企業のワークフローをサポートしなければなりません。そして、このプロセスで開発のスピードを落とすことは許されません。開発のペースに遅れずについて行く必要があります。

最近、Snyk では、ServiceNow など大手エンタープライズソリューションプロバイダーとの統合を発表し、サービスや脆弱性管理におけるエンドツーエンドの可視性を促進する取り組みを行っています。SnykLaunch のプレゼンテーションでは、ServiceNow のアキラ氏により Snyk - ServiceNow 統合のデモが行われました。 

また、最近 Dynatrace との統合を発表し、プラットフォームおよびオペレーションの優先アプリケーションモニタリングソリューションに新しいアプリケーションセキュリティの可視性をもたらしました。Snyk は現在、AWS CloudTrail Lake と統合し、監査の一元管理も行っています。さらに、Jiraにおけるアプリケーションセキュリティが 、開発者にとってよりわかりやすく使いやすいものにするため、 Atlassian Jira との統合を予定していることを最近発表しました。最後に、Snyk Partner Solutions Directory により、ユーザーは Snyk プラットフォームと連動するソリューションを見つけられるようになりました。

デベロッパーファーストのセキュリティ体験への道を切り開く

Snyk チームは、デベロッパーファーストのセキュリティプラットフォームの新機能を提供できることを非常に嬉しく思っています。この機能には C/C++ のサポート、Snyk Cloud の「IaC でクラウドの問題を修正する」機能、カスタマイズされたセキュリティワークフローのサポート、および新しいエンタープライズワークフローの統合などが含まれています。ぜひご利用ください。 

このブログを読んでご関心をお持ちになった方は、ウェビナー全体もお楽しみください。各リリースのすべてのデモや詳細情報は、オンデマンド録画（英語）からご覧いただけます。