非公開ユーザー
株式会社アバント|ソフトウェア・SI|社内情報システム(開発・運用管理)|300-1000人未満|ユーザー(利用者)|契約タイプ 無償利用
企業所属 確認済
投稿日:
脆弱性管理ツールで利用
良いポイント
Snykにコードリポジトリを食わせると、コードを解析し、依存性のあるオープンソースモジュールの既知の脆弱性を発見してくれます。また脆弱性データベースは随時更新され、定期的に脆弱性スキャンされ、自動的に修正のpull requestを作成することも可能です。また、コードの静的アプリケーションセキュリティテストも行われ、例えば接続情報をハードコーディングしていることや、ユーザ入力をそのままログに記載していることやXSSなどのコードに存在する脆弱性を自動的に検知してくれます。
改善してほしいポイント
有償版についてTeamだと10開発者までで、Enterpriseだとグッと価格が上がるので、どの開発規模で利用するかで費用対効果が変わってくるかと。とりあえず、Freeでもそこそこできるので、まずは使ってみるのがお勧め。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
手でライブラリ台帳を作りCVEの突合せを行っていたところから、自動的にコンポジット解析され脆弱性の検出されるのは、網羅的に脆弱性を把握するうえで大変有用だった。また、結果的にソフトウェアの構成台帳を作成できたのもよかったです。
閉じる
