課題: ソフトウェアのサプライチェーン全体でオープンソースの脆弱性に対応
ShopBack グループは、アジア太平洋地域で利用されている最先端のショッピング、リワード、決済プラットフォームです。3,800 万人以上のユーザーにショッピング関連サービスを提供しています。15,000 を超えるオンラインおよび店舗での加盟店パートナーと提携しており、年間売上高は 37 億ドルを超える。
ShopBack は昨年、金融サービスに進出し、ShopBack Pay と PayLater のサービスを開始しました。シンガポール、ベトナム、台湾で約 300 人の開発者がこのプラットフォームの維持と成長に取り組んでいます。
ShopBack チームでは、Log4j など重大度の非常に高いオープンソースの脆弱性を懸念していました。また、自社ソフトウェアのオープンソースの脆弱性を理解、分析、解決する方法を必要としていましたが、どこから着手すべきか考えあぐねていました。
エンジニアリングマネージャーのディピン・トーマス (Dipin Thomas) 氏は、「脆弱性が市場に広まり、誰もがその修正に取り組んでいました。『どこに脆弱性が存在するのか』、『どうすれば簡単に修正できるか』を理解し、分析するのは非常に難しい作業でした」と話しています。
ソリューション: Snyk Open Source
ShopBack チームは、オープンソースの脆弱性の発見と修正を目的として Snyk Open Source を導入しました。AWS とのプレミアムパートナーシップを通じて Snyk を紹介されると、チームは Snyk とその他の類似ツールを使用して評価を行うことにしました。チームは、一般的なコードベースでこれらのセキュリティソリューションを使用し、その能力をテストしました。Snyk Open Source は、そのパイプライン統合と CLI 機能により、トップになりました。
トーマス氏は、「主な差別化要因は、GitLab CI との統合しやすさと、結果を出すまでの時間の短さでした。Snyk には CLI で利用できる機能もいくつかあります。たとえば、レベル、タイプ、場所によって特定の脆弱性をフィルタリングしたり、ターゲットにしたりできます。これまでに使用したツールのほとんどにはこのようなフィルター機能がなく、代わりに全体的な報告書が生成されました。このため、それをフィルタリングするエンジンを構築しなければならず、非常に手間がかかっていました」と話しています。
ShopBack チームは、Snyk のセキュリティインテリジェンスも活用しており、CVE、サードパーティプロバイダーからの情報開示、その他の適切なセキュリティ情報を常に取得できます。
エンジニアリング担当副社長のチェン・タオシェン氏 (Tao-Sheng Chen) は、「いつ新しいオープンソースの脆弱性が発表されるかわかりません。状況は常に変化しており、今日は安全だと考えられているアプリでも、明日は新たな脆弱性を抱えている可能性もあります。使用しているすべてのサードパーティソフトウェアについて信頼できる情報を入手でき、重大な脆弱性に開発者が真っ先に気づけるので、非常に助かっています」と話しています。
脆弱性の発見・修正機能
ShopBack の開発者も、Snyk Open Source プラットフォームの自動修正機能を高く評価しています。脆弱性が検出されるたびに解決策を探すのではなく、ボタンをクリックするだけで、数秒で問題を修正できるからです。チームはまた、この機能が Node.js や Docker ファイルを含むエコシステムと簡単に統合できることも高く評価しています。
トーマス氏は、「自動修正の機能があるため、開発者は「どうやって修正すればよいのか」と調べて回る必要がありません。 ボタンをクリックするだけで、適切な修正またはアップグレードが準備され、それをマージするだけです」と話しています。
導入効果: 60 日以内にプラスの効果
ShopBack のチームが Snyk を導入したのはごく最近ですが、すでに大きな効果を実感しています。ソフトウェアのサプライチェーンのセキュリティ態勢をはるかに可視化できるようになりました。その結果、30 日間で重大度の非常に高い/高い脆弱性が 16% 減少しました。また、過去 2 か月間に、開発者がプロジェクトのセキュリティ確保に Snyk Open Source を導入するケースが 247% 増加しました。
セキュリティソリューションを導入した現在、チームは ISO 認証を受ける予定です。また、将来的には Snyk の他のソリューションも評価することを考えているといいます。
チェン氏は、「私は、このプラットフォームが既存のエコシステムに十分に統合されているからこそ、こうして初期段階で成果が現れているのだと考えています。ツールの導入が進むにつれて、さらなる成果が得られるよう期待しています」と話しています。