Snyk の紹介 〜セキュリティの Shift Left を目指す〜

Transcript

1. 
 Snyk ソリューションエンジニア 相澤俊幸 Snyk の紹介
 〜セキュリティの Shift Left を目指す〜


2. Toshi (トシ)
 相澤 俊幸 / Toshi Aizawa Snyk Solutions Engineer

   音楽、猫、落語が好き ToshiAizawa toshi-snyk toshiaizawa

3. 1 安全な開発を、迅速に。
 2 Shift Left を目指す
 
 3 新たなセキュリティ対策モデル DevSecOps


   
 4 Snyk の紹介とデモ
 5 まとめ


4. 安全な開発を、
 迅速に。


5. Snyk 創業者 兼 社長
 ガイ・ポジャーニー 
 (Guy Podjarny)
 Snyk CEO

   
 ピーター・マッケイ 
 (Peter McKay)


6. 多数のリーディングカンパニーが Snyk を採用
 Technology Financial Services Consumer Brands Media &

   Other

7. Shift Left 
 を目指す


8. 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security Check
 修正
 従来型のセキュリティ対策


9. CI/CD でセキュリティ対策
 Shift Left を目指す


10. 速さ
 セキュリティ対策における「はやさ」
 早さ


11. セキュリティの Shift Left
 コーディング
 SCM
 (ソースコード管理 )
 
 CI /

    CD
 本番環境 / 
 クラウド


12. 新たなセキュリティ対策モデル DevSecOps


13. セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security

    Check
 修正


14. 開発者
 運用担当者
 DevOps 継続的プロセス
 自律的チーム
 作業の自動化


15. 開発者 
 DevSecOps 継続的プロセス
 自律的チーム
 作業の自動化
 セキュリティ担 当者


16. DevSecOps 実現を後押しする Snyk のプラットフォーム

17. Developer Security プラットフォーム
 Snyk Code Snyk Open Source Snyk IaC

    Snyk Container Snyk Cloud デベロッパー
 エクスペリエンス
 エンパワーメント
 拡張性
 ガバナンス
 アプリケーション
 インテリジェンス
 セキュリティ
 インテリジェンス
 Snyk Learn
 セキュリティ教育


18. コードのチェックイン・マージ： 
 脆弱性とライセンスのポリシー違反の発見。 ポリ シーに基づいて PR をブロック。新たな脆弱性につい て JIRA Issue

    の自動作成
 CI/CD
 Git repository
 Traditional/PaaS
 Serverless
 Production
 Snyk 実行例
 
 Registry
 deploy
 Security 
 gate
 Code
 Test & fix
 Test, fix, monitor
 Kubernetes
 Monitor & more...
 Test, fix, monitor
 自動修正：
 Fix PR (修正プルリクエスト) により修正、パッチ適用、 アップグレード。あとはマージするだけ
 ビルド：
 CI に組み込まれた脆弱性とライセンス 違反の自動テスト。テスト失敗時にはポ リシーに従いビルドをブロック
 新しい脆弱性の検出時には 
 アラート発出・ JIRA Issueの自動作成 


19. VS Code IntelliJ Azure Repos GitLab Bitbucket Cloud Bitbucket Server

    Concourse Jenkins Azure Pipelines TeamCity Cloud Foundry VMWare Tanzu Heroku Artifactory micro focus Coding
 Source Control
 CI/CD
 Runtime
 Snyk CLI AWS Code Pipeline Kubernetes Snyk API Issue Management
 Eclipse Docker Hub Docker & others AWS Lambda IBM Cloud Registries
 Slack Jira Azure Functions BitBucket Pipelines CircleCI Snyk API GitHub GitHub Enterprise npm Enterprise Private Registry PyCharm WebStorm PhpStorm GoLand RubyMine Visual Studio 2019 Docker buildah Harbor Quay Amazon ECR Azure Container Registry Google Container Registry RedHat Openshift RiskSense Kenna Security Nucleus Security Vulcan Brinqua Fortify SSC 数多くの開発ツールと連携


20. 検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ

    
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


21. Snyk デモ

22. まとめ

23. セキュリティも新しいパラダイムへの適合が必要
 未来
 モダンで継続的なソフトウェア開発に適合する
 新しいセキュリティアプローチが必要
 過去
 遅くコストがかかる
 セキュリティの修正プロセス
 本番
 STOP
 Security

    Check
 修正


24. 検知 
 修正
 予防
 監視
 管理
 セキュリティ担当
 開発者
 使いやすさ
 最先端のセキュリティノウハウ

    
 ツールによる自動化 
 Snyk による SDLC 全体でのセキュリティ対策


25. Snyk の採用が特に進んでいるエリア
 エンタープライズ領域
 コンプライアンスを強く要求される業界
 デジタルネイティブ企業


26. UbieはなぜSnykを選んだのか？


27. Q & A

28. Thank you!