企業の問題
Segment では、プラットフォーム全体でさまざまなオープンソースパッケージを活用していましたが、可能な限り最高のセキュリティレベルで維持したいと考えていました。これまで GitHub が提供していた解決策は、開発者が実際に脆弱性を修正するために利用してはいなかったため、十分とは言えませんでした。また、セキュリティカバレッジは予想以下で、すべての言語に対応していたわけでもありませんでした。
Snyk の強力なセキュリティカバレッジ
Snyk は以下の点でニーズに対応していました。
セキュリティカバレッジがより包括的で、Snyk は評価対象の他社ソリューションでは検出されなかった脆弱性を報告できた。
脆弱性の修正を実行しやすいプラットフォームが用意されているため、開発者の間ですぐに定着した。
プラットフォームが、Segment のインフラで一般的に使用される Go を含む、幅広い言語に対応している。
「(評価対象の他社ソリューションが提供する) セキュリティカバレッジが十分とは思っていませんでしたが、後に Snyk と比較したときにその点が明らかになりました。eslint-scope の脆弱性が発見されたとき、脆弱性が存在するリポジトリをすぐに検出できたため、依存関係をアップグレードしたり削除したりするといった対応ができました」
他社ベンダーも検討していましたが、脆弱性のカバレッジが不十分で、Snyk では発見できた脆弱性の一部を検出できず、重要な要素である GitHub との統合ができませんでした。
「Snyk は Github に統合されていたため、手間をかけずにすぐに実行できました。購入後 2 日で、すでに 1,200 件のリポジトリを Snyk でモニタリングしていました」
開発ファーストのアプローチ
Snyk が可能にした開発者のセキュリティオーナーシップの一例として、Segment の開発者の一人が、セキュリティチームからの要請なしに、Snyk で検出された脆弱性をすべて修正しました。脆弱な依存関係をすべて削除したり、アップグレードしたりするのに 1 日もかかりませんでした。
Snyk API で主要な Segment 内部モニタリングツールを簡単に統合
Snyk の API を Segment の資産管理ツールに組み込むことで、同社の既存のワークフロー内で全体的な脆弱性のステータスを簡単に追跡できるようになりました。Snyk は API ファーストのアプローチを採用しており、新機能については UI に追加される前にすべて API に導入されます。詳細については、こちらをご覧ください。
大きな違いを生む Snyk チームのオープンでアジャイルなアプローチ
Snyk のチームは、オープンで協力的なアプローチを提案し、顧客からの要望に耳を傾け、積極的にサポートすることを心がけています。チームは新機能をいち早く導入し、すばやいリリースにより顧客のニーズに対応しています。オープンなコミュニケーションがなされ、Snyk チームは、顧客と緊密に連携する中で、すばやくソリューションを提供します。
「特に目指していたのは、ベンダーチームと親しくなることでした。製品に組み込まれていない機能についても、チームとして積極的に実現に取り組んでいます。チームが耳を傾けてくれて、フィードバックされた内容を製品ロードマップに組み込んでいる様子がよくわかります」
