Upgrade to Pro — share decks privately, control downloads, hide ads and more …

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)

90c64c1f906bb9b1e3a163f92b145d26?s=128

Toshi Aizawa

May 30, 2022
Tweet

More Decks by Toshi Aizawa

Other Decks in Technology

Transcript

  1. Develop fast. Stay secure.

  2. デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 Lambda、CodePipeline、ECR とも連携可! Snyk ソリューションエンジニア 相澤俊幸

  3. @ToshiAizawa • Security 関連業務に従事 (2012-) • Fastly Sales Engineer (2015-2021)

    • Snyk Solutions Engineer (2021-)
  4. アジェンダ Snyk! Snyk? Q & A

  5. Snyk? (Snyk 紹介)

  6. so now you know

  7. Snyk ご存知でしたか?

  8. Snyk 使ったことありますか?

  9. $ docker scan [OPTIONS] IMAGE

  10. Snyk Vuln DB built into Amazon Inspector

  11. Develop fast. Stay secure.

  12. With Snyk, Organizations Can Develop Fast and Stay Secure Snyk

    を使え 迅速な開発とセキュリティが両立できる
  13. セキュアな DX (デジタルトランスフォーメーション ) 推進に必須 コンセプト Developer Security 開発 効率化、セキュリティ

    強化、 そしてイノベーション 促進に貢献 最先端 セキュリティノウハウと、 クラウドアプリケーション全体へ セキュリティ可視性を提供
  14. 長期的に計画されたデプロイ (年に数回) これまで サイロ化した Dev と Ops カッチリとした反復開発 独自開発中心 これから

    DX により変化する開発手法
  15. これまで これから 後工程で 修正 ↓ セキュリティ対策コスト増大 最新式 「継続的」開発モデル ↓ 「継続的」セキュリティ対策モデルが必要

    本番 STOP セキュリティチェッ ク 修正 セキュリティに対して要求されている変化
  16. イノベーション 足かせとなる従来型セキュリティ対策 脆弱性 増加と、 企業・顧客へ リスク増大 イノベーション実現に Developer Security 取り組みが必須

    イノベーション 遅れ、 競争力 低下 シナリオ 1 開発 スローダウン シナリオ 2 セキュリティ 対策がおろそかに 従 来 型 セ キ ュ リ テ ィ 対 策
  17. 検知 修正 予防 監視 管理 セキュリティ担当 開発者 使いやすさ 最先端 セキュリティノウハウ

    ツールによる自動化 Snyk による SDLC 全体で セキュリティ対策
  18. Snyk によるコーディングから本番環境に至るセキュリティ対策 コーディング SCM (ソースコード管理 ) CI / CD 本番環境

    / クラウド 検出 / 修正 検出 / 修正 / 監視 検出 / 修正 / 監視 監視 (IDE) (Git Repos) (CLI) (Kubernetes, Registry, etc.) スキャン → 自動修正 チェックイン・マージ時 スキャン実行 ビルド時 スキャン実行 脆弱性検出 → アラート発出 開発しながらスキャン → 脆弱性あれ 即修正 監視ルール 設定 ビルド連携した検出・修正
  19. かんたんに使える連携機能 さまざまな開発フェーズで利用可能 アプリによる拡張 ワークフロー 統合やカスタマイズを可能にする拡張性、 自社開発/パートナーによるアプリケーション機能を提供 ツール連携と拡張性 Registries Issue Management

    Coding Source Control CI/CD Runtime
  20. 20 Log4Shell 対策でも活躍した Snyk 修正 検出 素早く正確に検出 重大性 理解 自動修正

    プライオリティ付け 予防 早期発見 セキュアな開発 監視 可視性 確保 現状把握・進捗管理 管理 自社ポリシーに応じた管理 的確な対応
  21. Open Source 90% 以上 企業がオープン ソースパッケージを活用 90%+ Code テストフェーズにおける脆弱性修正 設計時に比べると

    15 倍 コスト増 15x Container 75% 企業が 2022 年に コンテナを利用 75% Infrastructure as Code クラウド脆弱性 原因 ナンバーワン 設定ミス #1 Source: Gartner, NSA, IBM 重要セキュリティ要件を満たす 4 つ 製品群 Snyk アプリケーション 脆弱性について、コードからクラウドまで 全体像を、開発者とセキュリティ担当に提供
  22. Snyk! (Snyk デモ)

  23. Code Open Source Container Infrastructure as Code Snyk products

  24. • コードベース うち 80-90%がオープンソース • 脆弱性 80% 間接的な依存関係で見つかる • 数百

    Linux パッケージが含まれる • 秒単位 短時間でビルド、デプロイ、スケール可能 • クラウドで 脆弱性発生原因 第1位 設定ミス [米国 NSA] • ネットワーク、ストレージ、サーバー - コードを通じて素早く設定 • 頻繁にデプロイされるソフトウェア - ウォーターフォールで 追い つけない。スキャンに何時間もかけられない • カスタムコードが全体 10-20% - DX 推進で、もっと多く 機能 を、より短い時間で開発することが求められる Code Open Source Containers Infrastructure as Code クラウド時代 アプリケーション リスク 潜む場所
  25. CI/CD Git repository Traditional/PaaS Serverless Production DevSecOps: DevOps ワークフローへ 組み込まれたセキュリティ

    Registry deploy Security gate Code Test & fix Test, fix, monitor Kubernetes Monitor & more... build submit Test, fix, monitor
  26. Snyk Open Source: 自動修正により 複雑な修正作業を容易に クリックひとつで 修正用プルリクエストを作成 Vulnerable package Fix

    ejs-locals@1.1.0 Fix Vulnerable package
  27. Snyk 脆弱性データベース

  28. Vulnerability Database Snyk Developer Community Public Sources Proprietary Research Machine

    Learning より多く >3x 他 商用データベースに比べて 多く 脆弱性を登録 より早く >90% NVD JavaScript 脆弱性 うち Snyk DB に最初に登録された割合 速やかに修正 修正情報 提供 優先度や修正方法 判断に役立つ メタデータ・情報を研究者が追加 Trusted by 正確に検知 低い誤検知率 継続的に詳細な 品質を守る Snyk Intel Vulnerability DB (脆弱性DB)
  29. まとめ

  30. Snyk Developer Security を実現 • 開発者用 セキュリティツール • 開発 各フェーズで実行できる

    • 既存 開発ツールと連携して実行できる • 自動修正機能 • Snyk 脆弱性データベース • Snyk Open Source (オープンソースライブラリ 脆弱性) や、 Code / Container / IaC もカバー
  31. 参考情報 • Snyk サインアップページ • AWS クイックスタート Snyk Security •

    Snyk でデプロイ済み AWS Lambda 脆弱性診断をしてみた (DevelopersIO)
  32. Thank you! snyk.io よりフリープランにサインアップ できます。ぜひSnykをお試しください!

  33. じめよう!AWSとSnykで安全で迅速な開発を! 【AWS登壇】シリーズ3回ウェビナー+ハンズオン ご参加(無料) こちら :https://snyk.zoom.us/webinar/register/6116538759778/WN_PQJRafNMSW2JDXeGMHox6g Day 1) 6月9日(木)11:00-12:00 【ウェビナー】 DevOpsからDevSecOpsへ、さらに堅牢な開発環境を実現するために

    スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 技術統括本部パートナー技術本部 シニアパートナーソリューションアーキテクト 山口 弘樹氏、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 2) 6月16日(木)11:00-12:00 【ウェビナー】AWS EKSで 開発を、Snykを使って堅牢に スピーカー: アマゾン ウェブ サービス ジャパン 合同会社 パブリックセクター ソリューションアーキテクト 東 健一氏 、 Snyk株式会社 シニアソリューションエンジニア 相澤 俊幸氏 Day 3) 6月30日(木)11:00-12:00 【ハンズオン】やってみよう! AWS CodePipelineとSnyk ハンズオンワークショップ ▼詳細お申し込み こちら
  34. Q & A