Skip to main content

Security Labs

Snyk の Security Labs チームは、高い影響力を持つ調査を通じてアプリケーションセキュリティを向上させることに打ち込んでいます。私たちの目標は、包括的な調査とツールを提供することで、開発者とセキュリティチームの専門知識を強化することです。

私たちの取り組みは、コアコンテナインフラストラクチャにおける大規模な CVE につながり、一般的なオープンソースレジストリにおける重大なサプライチェーン攻撃ベクトルを遮断し、AI や LLM などの新興テクノロジーに対する斬新な攻撃を実証してきました。

私たちの価値

意識

過小評価されているセキュリティ分野に光を当て、調査を通じて開発者の教育を支援します。

影響力の強いセキュリティ

オープンソースソフトウェア (OSS) や最新のアプリケーションにおける広く影響を及ぼす脆弱性を発見し、修正を支援します。

スケーラビリティ

セキュリティ調査を大規模に実施します。

コミュニティの連携

コミュニティが脆弱性や脅威を発見および軽減するのに役立つツールを作成します。

チームのご紹介

Snyk のセキュリティチームの研究者をご紹介します。

Raul Onitza-Klugman

Staff Security Researcher

Raul Onitza-Klugman

Rory McNamara

Staff Security Researcher

Rory McNamara

Elliot Ward

Senior Security Researcher

Elliot Ward

注目の調査

Security Labs チームによる、最近の注目を集めた調査の一部をご覧ください。

Snyk の調査をすべて見る
Blog

注意喚起: GitHub Actions における脆弱性を探る

このブログ記事では、GitHub Actions の概要について説明し、実例を用いてさまざまな脆弱性のシナリオについて検討し、問題を起こしやすい機能を安全に使用するためのガイダンスを提供し、構成ファイルをスキャンして潜在的な問題を指摘するように設計されたオープンソースツールを紹介します。

Blog

Leaky Vessels: Docker および runc コンテナブレイクアウトの脆弱性 (2024 年 1 月)

Snyk のセキュリティ研究者 Rory McNamara は、Snyk Security Labs チームとともに、コンテナのエスケープを可能にする「Leaky Vessels」と呼ばれる 4 つの脆弱性がコアコンテナインフラストラクチャコンポーネントにあることを特定しました。

Blog

Gitpod における WebSocket を介したリモートコード実行のゼロデイ脆弱性

この投稿では、クラウド開発環境 (CDE) に関する Snyk の最新調査の結果を発表します。それは、リンクへのアクセス、一般的に誤解されている脆弱性 (WebSocket ハイジャック) の悪用、実質的な SameSite cookie バイパスの活用を通じて、アカウントが完全に乗っ取られるという結果でした。

脆弱性を発見したら、Snyk が報告をお手伝いします。

Snyk のフォームを使用して、自分が発見した脆弱性や、Snyk 脆弱性データベースで見つからない脆弱性を公開できます。Snyk は、脆弱性の検証、保守担当者への連絡、問題への CVE の割り当てを支援します。

レポートを送信する前に、こちらで Snyk の開示ポリシーをご確認ください。

新しい脆弱性を報告する