Atlassian で Snyk の脆弱性に関するインサイトを数千人の開発者に提供している方法

ハイライト:

Snyk スキャン結果を 3,500 人超の開発者に提供

Snyk Open Source を使用して 550 万件の SCA テストを実行

全社的にデプロイされたコンテナの 100% を Snyk Container でスキャン

数か月で重大なコンテナの脆弱性を 65% 削減

他のスキャンソリューションと比較して少ない誤検知の報告

SOC 2 およびその他の規制要件に対するコンプライアンスの確保

課題: セキュリティスキャンを全社的に拡大する

Atlassian が 20 万社を超える顧客と 260 万を超えるコミュニティメンバーを抱えるまでに成長する中、アプリケーションセキュリティは会社のリスクエクスポージャーを軽減するため、ますます重要度を増しています。Atlassian では、事業拡大とともにツールの安全性と業界規制への準拠を確保したいと考え、開発者がアプリケーション全体を管理してセキュリティを確保できる機能に実績のある Snyk と提携しました。

「以前のツールは、Trello 製品でのコンテナスキャンに対する応急処置用でしたが、拡張可能な製品が必要でした」と Atlassian のシニア製品セキュリティエンジニアのウィル・ラトナー氏 (Will Ratner) は説明しています。「つまり、自社でインフラを管理する必要がなく、開発者が使いやすいデータを提供して脆弱性を簡単に修正できる製品が必要だったということです」

ソリューション: Snyk を数千人の開発者にロールアウト

複数の選択肢を評価した結果、Atlassian が Snyk Container を選んだ理由は、自社のインフラを管理しなくとも、製品や開発チーム全体にコンテナスキャンを拡張できたからです。Atlassian のサービスの 99% はコンテナ上にデプロイされているため、Snyk で全社にわたりすべてのソフトウェアのセキュリティを確保できます。

「Snyk の評価を始めたのは、主に、既存のコンテナスキャンツールの優れた代替品を見つけるためでした」と、Atlassian のシニアプロダクトセキュリティエンジニア、シャラダ・ムーシー氏 (Sharada Moorthy) は説明します。「また、当社の他の製品にも拡張できるプラットフォームに切り替えたいと考えていました」

さらに、Atlassian では、Snyk Open Source の導入により、オープンソースの依存関係をスキャンし、脆弱性を発見できるようになりました。Atlassian は各ビルド環境で個々のリポジトリをスキャンしたいと考えていたため、Snyk は新しいバルクスキャン機能を展開し、その要求に対応しました。この新機能は、Atlassian の依存関係スキャンワークフローに欠かせないものとなっています。

「Snyk の主なメリットの 1 つは、開発者がパイプラインにも簡単に統合できることです」と、Atlassian の製品セキュリティエンジニアのマシュー・バス氏 (Matthew Bass) は述べています。「一元化されたスキャンでは不十分な場合は、開発者自身が SCA スキャン自体を統合できる実際の手順を用意できます」

Snyk が提供するユーザビリティと実用的なインサイト

また、Snyk ソリューションのユーザビリティと効率性も、Atlassian に選ばれた大きな理由となっています。Snyk を全開発チームの CI/CD パイプラインに統合するのではなく、導入イベント中にコンテナと依存関係を自動的にスキャンし修正チケットのリクエストを通じて数千人の開発者にそのインサイトを公開しています。

プロジェクトがスキャンされると、Atlassian のセキュリティ部門で開発者が修正すべき脆弱性に対してチケットを作成します。Snyk が提供するメタデータ (重大度、優先度スコアなど) を利用することで、最も重大度の高い脆弱性から効率的に修正でき、修正プログラムさえ存在しない場合もある低リスクの脆弱性に、開発者が時間を費やして対応する必要はなくなります。

「使い勝手の良さに加え、発見された情報の質の高さも大きなメリットです」と、 Atlassian のシニアセキュリティエンジニア、クリス・ウォルツ氏 (Chris Walz) は説明します。「他のスキャンソリューションと比較して、Snyk は誤検知や実際には脆弱性ではない問題の報告が少なくなっています」

導入効果: 未解決の脆弱性が劇的に減少

かつて Atlassian では、1 つの製品のコンテナスキャンをごく一部しかカバーできていませんでしたが、その後、組織全体で 100% のカバー率を達成しました。さらに重要な点は、わずか数か月の間に、重大度の高いオープンコンテナの脆弱性を 65%、重大度の非常に高いオープンコンテナの脆弱性を 39% 減少させています。

「現在ではデプロイされたすべてのコンテナについて、確実にスキャンを行い、脆弱性が存在する場合にはその修正に対してチケットが発行されます」とラトナー氏は説明します。「これらの指標を経営陣が管理し、コンテナと SCA のスキャン機能の有効性を確認しています」

現時点で、Atlassian は Snyk を使って 550 万件の依存関係をスキャンし、370 万個のコンテナをスキャンしています。コンテナの脆弱性修正のロールアウトが成功し、わずか数か月で脆弱性が大幅に減少したことから、 Atlassian では次に Snyk オープンソースを導入して検出した問題の修正チケットの作成を始める予定です。

「Snyk が機能追加やドキュメントの改善に着手し、当社を支援してくれたことに感謝しています」とラトナー氏は締めくくります。「導入プロセスは好調で、他のスキャンツールと比較しても、Snyk では良好な成果と開発者のフィードバックが得られています」

AI によって自動で生成されたコードの保護を始める

無料の Snyk アカウントを作成して、今すぐ AI によって自動で生成されたコードの保護を始めましょう。また、専門家によるデモを予約して、Snyk が開発者セキュリティのユースケースにどのように適用されるのかをご覧ください。

クレジットカードは必要ありません。

ログインまたは登録することにより、当社の利用規約およびプライバシーポリシーを含め、当社の規程を遵守することに同意したことになります