Develop fast. Stay secure.

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 Lambda、CodePipeline、ECR とも連携可！ Snyk ソリューションエンジニア 相澤俊幸

@ToshiAizawa ● Security 関連業務に従事 (2012-) ● Fastly Sales Engineer (2015-2021) ● Snyk Solutions Engineer (2021-)

アジェンダ Snyk! Snyk? Q & A

Snyk? (Snyk 紹介)

so now you know

Snyk ご存知でしたか？

Snyk 使ったことありますか？

$ docker scan [OPTIONS] IMAGE

Snyk Vuln DB built into Amazon Inspector

Develop fast. Stay secure.

With Snyk, Organizations Can Develop Fast and Stay Secure Snyk を使え 迅速な開発とセキュリティが両立できる

セキュアな DX (デジタルトランスフォーメーション ) 推進に必須 コンセプト Developer Security 開発 効率化、セキュリティ 強化、 そしてイノベーション 促進に貢献 最先端 セキュリティノウハウと、 クラウドアプリケーション全体へ セキュリティ可視性を提供

長期的に計画されたデプロイ (年に数回) これまで サイロ化した Dev と Ops カッチリとした反復開発 独自開発中心 これから DX により変化する開発手法

これまで これから 後工程で 修正 ↓ セキュリティ対策コスト増大 最新式 「継続的」開発モデル ↓ 「継続的」セキュリティ対策モデルが必要 本番 STOP セキュリティチェッ ク 修正 セキュリティに対して要求されている変化

イノベーション 足かせとなる従来型セキュリティ対策 脆弱性 増加と、 企業・顧客へ リスク増大 イノベーション実現に Developer Security 取り組みが必須 イノベーション 遅れ、 競争力 低下 シナリオ 1 開発 スローダウン シナリオ 2 セキュリティ 対策がおろそかに 従 来 型 セ キ ュ リ テ ィ 対 策

検知 修正 予防 監視 管理 セキュリティ担当 開発者 使いやすさ 最先端 セキュリティノウハウ ツールによる自動化 Snyk による SDLC 全体で セキュリティ対策

Snyk によるコーディングから本番環境に至るセキュリティ対策 コーディング SCM (ソースコード管理 ) CI / CD 本番環境 / クラウド 検出 / 修正 検出 / 修正 / 監視 検出 / 修正 / 監視 監視 (IDE) (Git Repos) (CLI) (Kubernetes, Registry, etc.) スキャン → 自動修正 チェックイン・マージ時 スキャン実行 ビルド時 スキャン実行 脆弱性検出 → アラート発出 開発しながらスキャン → 脆弱性あれ 即修正 監視ルール 設定 ビルド連携した検出・修正

かんたんに使える連携機能 さまざまな開発フェーズで利用可能 アプリによる拡張 ワークフロー 統合やカスタマイズを可能にする拡張性、 自社開発／パートナーによるアプリケーション機能を提供 ツール連携と拡張性 Registries Issue Management Coding Source Control CI/CD Runtime

20 Log4Shell 対策でも活躍した Snyk 修正 検出 素早く正確に検出 重大性 理解 自動修正 プライオリティ付け 予防 早期発見 セキュアな開発 監視 可視性 確保 現状把握・進捗管理 管理 自社ポリシーに応じた管理 的確な対応

Open Source 90% 以上 企業がオープン ソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正 設計時に比べると 15 倍 コスト増 15x Container 75% 企業が 2022 年に コンテナを利用 75% Infrastructure as Code クラウド脆弱性 原因 ナンバーワン 設定ミス #1 Source: Gartner, NSA, IBM 重要セキュリティ要件を満たす 4 つ 製品群 Snyk アプリケーション 脆弱性について、コードからクラウドまで 全体像を、開発者とセキュリティ担当に提供

Snyk! (Snyk デモ)

Code Open Source Container Infrastructure as Code Snyk products

● コードベース うち 80-90%がオープンソース ● 脆弱性 80% 間接的な依存関係で見つかる ● 数百 Linux パッケージが含まれる ● 秒単位 短時間でビルド、デプロイ、スケール可能 ● クラウドで 脆弱性発生原因 第1位 設定ミス [米国 NSA] ● ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 ● 頻繁にデプロイされるソフトウェア - ウォーターフォールで 追い つけない。スキャンに何時間もかけられない ● カスタムコードが全体 10-20% - DX 推進で、もっと多く 機能 を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代 アプリケーション リスク 潜む場所

CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ 組み込まれたセキュリティ Registry deploy Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... build submit Test, fix, monitor

Snyk Open Source: 自動修正により 複雑な修正作業を容易に クリックひとつで 修正用プルリクエストを作成 Vulnerable package Fix [email protected] Fix Vulnerable package

Snyk 脆弱性データベース

Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine Learning より多く >3x 他 商用データベースに比べて 多く 脆弱性を登録 より早く >90% NVD JavaScript 脆弱性 うち Snyk DB に最初に登録された割合 速やかに修正 修正情報 提供 優先度や修正方法 判断に役立つ メタデータ・情報を研究者が追加 Trusted by 正確に検知 低い誤検知率 継続的に詳細な 品質を守る Snyk Intel Vulnerability DB (脆弱性DB)

まとめ

Snyk Developer Security を実現 ● 開発者用 セキュリティツール ● 開発 各フェーズで実行できる ● 既存 開発ツールと連携して実行できる ● 自動修正機能 ● Snyk 脆弱性データベース ● Snyk Open Source (オープンソースライブラリ 脆弱性) や、 Code / Container / IaC もカバー

参考情報 ● Snyk サインアップページ ● AWS クイックスタート Snyk Security ● Snyk でデプロイ済み AWS Lambda 脆弱性診断をしてみた (DevelopersIO)

Thank you! snyk.io よりフリープランにサインアップ できます。ぜひSnykをお試しください！

じめよう！AWSとSnykで安全で迅速な開発を！ 【AWS登壇】シリーズ3回ウェビナー＋ハンズオン ご参加（無料） こちら ：https://snyk.zoom.us/webinar/register/6116538759778/WN_PQJRafNMSW2JDXeGMHox6g Day 1) 6月9日（木）11:00-12:00 【ウェビナー】 DevOpsからDevSecOpsへ、さらに堅牢な開発環境を実現するために スピーカー： アマゾン ウェブ サービス ジャパン 合同会社　技術統括本部パートナー技術本部　シニアパートナーソリューションアーキテクト　山口 弘樹氏、 Snyk株式会社　シニアソリューションエンジニア　相澤 俊幸氏 Day 2) 6月16日（木）11:00-12:00 【ウェビナー】AWS EKSで 開発を、Snykを使って堅牢に スピーカー： アマゾン ウェブ サービス ジャパン 合同会社　パブリックセクター ソリューションアーキテクト　東 健一氏 、 Snyk株式会社　シニアソリューションエンジニア　相澤 俊幸氏 Day 3) 6月30日（木）11:00-12:00 【ハンズオン】やってみよう！ AWS CodePipelineとSnyk ハンズオンワークショップ ▼詳細お申し込み こちら

Q & A