さくっと始められるコードからのセキュリティ解析【ITreview】IT製品のレビュー・比較サイト

良いポイント

Snykにコードリポジトリを食わせると、コードを解析し、依存性のあるオープンソースモジュールの既知の脆弱性を発見してくれます。また脆弱性データベースは随時更新され、定期的に脆弱性スキャンされ、自動的に修正のpull requestを作成することも可能です。また、コードの静的アプリケーションセキュリティテストも行われ、例えば接続情報をハードコーディングしていることや、ユーザ入力をそのままログに記載していることやXSSなどのコードに存在する脆弱性を自動的に検知してくれます。

改善してほしいポイント

有償版についてTeamだと10開発者までで、Enterpriseだとグッと価格が上がるので、どの開発規模で利用するかで費用対効果が変わってくるかと。とりあえず、Freeでもそこそこできるので、まずは使ってみるのがお勧め。

どのような課題解決に貢献しましたか？どのようなメリットが得られましたか？

手でライブラリ台帳を作りCVEの突合せを行っていたところから、自動的にコンポジット解析され脆弱性の検出されるのは、網羅的に脆弱性を把握するうえで大変有用だった。また、結果的にソフトウェアの構成台帳を作成できたのもよかったです。

続きを開く