Snyk ソリューションエンジニア 相澤俊幸 Snyk の紹介
 〜セキュリティの Shift Left を目指す〜


Toshi (トシ)
 相澤 俊幸 / Toshi Aizawa Snyk Solutions Engineer 音楽、猫、落語が好き ToshiAizawa toshi-snyk toshiaizawa

1 安全な開発を、迅速に。
 2 Shift Left を目指す
 
 3 新たなセキュリティ対策モデル DevSecOps
 
 4 Snyk の紹介とデモ
 5 まとめ


安全な開発を、
 迅速に。


Snyk 創業者 兼 社長
 ガイ・ポジャーニー 
 (Guy Podjarny)
 Snyk CEO 
 ピーター・マッケイ 
 (Peter McKay)


多数のリーディングカンパニーが Snyk を採用
 Technology Financial Services Consumer Brands Media & Other

Shift Left 
 を目指す


過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security Check
 修正
 従来型のセキュリティ対策


CI/CD でセキュリティ対策
 Shift Left を目指す


速さ
 セキュリティ対策における「はやさ」
 早さ


セキュリティの Shift Left
 コーディング
 SCM
 (ソースコード管理 )
 
 CI / CD
 本番環境 / 
 クラウド


新たなセキュリティ対策モデル DevSecOps


セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security Check
 修正


開発者
 運用担当者
 DevOps 継続的プロセス
 自律的チーム
 作業の自動化


開発者 
 DevSecOps 継続的プロセス
 自律的チーム
 作業の自動化
 セキュリティ担 当者


DevSecOps 実現を後押しする Snyk のプラットフォーム

Developer Security プラットフォーム
 Snyk Code Snyk Open Source Snyk IaC Snyk Container Snyk Cloud デベロッパー
 エクスペリエンス
 エンパワーメント
 拡張性
 ガバナンス
 アプリケーション
 インテリジェンス
 セキュリティ
 インテリジェンス
 Snyk Learn
 セキュリティ教育


コードのチェックイン・マージ： 
 脆弱性とライセンスのポリシー違反の発見。 ポリ シーに基づいて PR をブロック。新たな脆弱性につい て JIRA Issue の自動作成
 CI/CD
 Git repository
 Traditional/PaaS
 Serverless
 Production
 Snyk 実行例
 
 Registry
 deploy
 Security 
 gate
 Code
 Test & fix
 Test, fix, monitor
 Kubernetes
 Monitor & more...
 Test, fix, monitor
 自動修正：
 Fix PR (修正プルリクエスト) により修正、パッチ適用、 アップグレード。あとはマージするだけ
 ビルド：
 CI に組み込まれた脆弱性とライセンス 違反の自動テスト。テスト失敗時にはポ リシーに従いビルドをブロック
 新しい脆弱性の検出時には 
 アラート発出・ JIRA Issueの自動作成 


VS Code IntelliJ Azure Repos GitLab Bitbucket Cloud Bitbucket Server Concourse Jenkins Azure Pipelines TeamCity Cloud Foundry VMWare Tanzu Heroku Artifactory micro focus Coding
 Source Control
 CI/CD
 Runtime
 Snyk CLI AWS Code Pipeline Kubernetes Snyk API Issue Management
 Eclipse Docker Hub Docker & others AWS Lambda IBM Cloud Registries
 Slack Jira Azure Functions BitBucket Pipelines CircleCI Snyk API GitHub GitHub Enterprise npm Enterprise Private Registry PyCharm WebStorm PhpStorm GoLand RubyMine Visual Studio 2019 Docker buildah Harbor Quay Amazon ECR Azure Container Registry Google Container Registry RedHat Openshift RiskSense Kenna Security Nucleus Security Vulcan Brinqua Fortify SSC 数多くの開発ツールと連携


検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ 
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


Snyk デモ

まとめ

セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security Check
 修正


検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ 
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


Snyk の採用が特に進んでいるエリア
 エンタープライズ領域
 コンプライアンスを強く要求される業界
 デジタルネイティブ企業


UbieはなぜSnykを選んだのか？


Q & A

Thank you!