Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Snyk の紹介 〜セキュリティの Shift Left を目指す〜

Toshi Aizawa
March 20, 2023
Technology
0
240

Snyk の紹介 〜セキュリティの Shift Left を目指す〜

CI/CD Conference 2023
2023-03-20 Track A 14:20-15:00
「UbieはなぜSnykを選んだのか?
安全で高速なアプリケーション開発ライフサイクルの実現へ」の前説プレゼンのスライドです。

Toshi Aizawa

March 20, 2023
Tweet

More Decks by Toshi Aizawa

See All by Toshi Aizawa
Kubernetes ワークロードのセキュアな実行と開発者向けセキュリティツール Snyk の活用
toshiaizawa
0
110
「開発者とセキュリティのお付き合い」5パターン
toshiaizawa
0
170
デベロッパーファーストなセキュリティプラットフォーム Snyk 紹介 (Security-JAWS 第25回)
toshiaizawa
0
2k
Snyk - デベロッパーファーストで実現する DevSecOps
toshiaizawa
1
110

Other Decks in Technology

See All in Technology
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
2
610
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
820
Why does continuous profiling matter to developers? #appdevelopercon
salaboy
0
190
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
150
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
210
AIチャットボット開発への生成AI活用
ryomrt
0
170
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
Taming you application's environments
salaboy
0
190
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1k
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
130
SREによる隣接領域への越境とその先の信頼性
shonansurvivors
2
520
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
640

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
890
Speed Design
sergeychernyshev
25
620
Facilitating Awesome Meetings
lara
50
6.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Documentation Writing (for coders)
carmenintech
65
4.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k

Transcript

  1. 
 Snyk ソリューションエンジニア 相澤俊幸 Snyk の紹介
 〜セキュリティの Shift Left を目指す〜


  2. Toshi (トシ)
 相澤 俊幸 / Toshi Aizawa Snyk Solutions Engineer

    音楽、猫、落語が好き ToshiAizawa toshi-snyk toshiaizawa

  3. 1 安全な開発を、迅速に。
 2 Shift Left を目指す
 
 3 新たなセキュリティ対策モデル DevSecOps


    
 4 Snyk の紹介とデモ
 5 まとめ


  4. 安全な開発を、
 迅速に。


  5. Snyk 創業者 兼 社長
 ガイ・ポジャーニー 
 (Guy Podjarny)
 Snyk CEO

    
 ピーター・マッケイ 
 (Peter McKay)


  6. 多数のリーディングカンパニーが Snyk を採用
 Technology Financial Services Consumer Brands Media &

    Other

  7. Shift Left 
 を目指す


  8. 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security Check
 修正
 従来型のセキュリティ対策


  9. CI/CD でセキュリティ対策
 Shift Left を目指す


  10. 速さ
 セキュリティ対策における「はやさ」
 早さ


  11. セキュリティの Shift Left
 コーディング
 SCM
 (ソースコード管理 )
 
 CI /

    CD
 本番環境 / 
 クラウド


  12. 新たなセキュリティ対策モデル DevSecOps


  13. セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security

    Check
 修正


  14. 開発者
 運用担当者
 DevOps 継続的プロセス
 自律的チーム
 作業の自動化


  15. 開発者 
 DevSecOps 継続的プロセス
 自律的チーム
 作業の自動化
 セキュリティ担 当者


  16. DevSecOps 実現を後押しする Snyk のプラットフォーム

  17. Developer Security プラットフォーム
 Snyk Code Snyk Open Source Snyk IaC

    Snyk Container Snyk Cloud デベロッパー
 エクスペリエンス
 エンパワーメント
 拡張性
 ガバナンス
 アプリケーション
 インテリジェンス
 セキュリティ
 インテリジェンス
 Snyk Learn
 セキュリティ教育


  18. コードのチェックイン・マージ: 
 脆弱性とライセンスのポリシー違反の発見。 ポリ シーに基づいて PR をブロック。新たな脆弱性につい て JIRA Issue

    の自動作成
 CI/CD
 Git repository
 Traditional/PaaS
 Serverless
 Production
 Snyk 実行例
 
 Registry
 deploy
 Security 
 gate
 Code
 Test & fix
 Test, fix, monitor
 Kubernetes
 Monitor & more...
 Test, fix, monitor
 自動修正:
 Fix PR (修正プルリクエスト) により修正、パッチ適用、 アップグレード。あとはマージするだけ
 ビルド:
 CI に組み込まれた脆弱性とライセンス 違反の自動テスト。テスト失敗時にはポ リシーに従いビルドをブロック
 新しい脆弱性の検出時には 
 アラート発出・ JIRA Issueの自動作成 


  19. VS Code IntelliJ Azure Repos GitLab Bitbucket Cloud Bitbucket Server

    Concourse Jenkins Azure Pipelines TeamCity Cloud Foundry VMWare Tanzu Heroku Artifactory micro focus Coding
 Source Control
 CI/CD
 Runtime
 Snyk CLI AWS Code Pipeline Kubernetes Snyk API Issue Management
 Eclipse Docker Hub Docker & others AWS Lambda IBM Cloud Registries
 Slack Jira Azure Functions BitBucket Pipelines CircleCI Snyk API GitHub GitHub Enterprise npm Enterprise Private Registry PyCharm WebStorm PhpStorm GoLand RubyMine Visual Studio 2019 Docker buildah Harbor Quay Amazon ECR Azure Container Registry Google Container Registry RedHat Openshift RiskSense Kenna Security Nucleus Security Vulcan Brinqua Fortify SSC 数多くの開発ツールと連携


  20. 検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ

    
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


  21. Snyk デモ

  22. まとめ

  23. セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security

    Check
 修正


  24. 検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ

    
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


  25. Snyk の採用が特に進んでいるエリア
 エンタープライズ領域
 コンプライアンスを強く要求される業界
 デジタルネイティブ企業


  26. UbieはなぜSnykを選んだのか?


  27. Q & A

  28. Thank you!