非公開ユーザー
ソフトウェア・SI|ITコンサルタント|50-100人未満|ユーザー(利用者)|契約タイプ 無償利用
脆弱性管理ツールで利用
良いポイント
ソースコードやコンテナの脆弱性診断はもちろんのこと、ドリフト検出もできます。ドリフト検出は、IaCツールで作成した実リソースとコードの差異を検出することです。
用途は、snykをterraformと連携させてのドリフト検出です。実リソースとtfstateの差分はterraformのみでもチェックできますが、
terraformの管理外にあるリソースは当然チェックしません。そのため、手作業によってterraform管理下から外れたリソースがないか、入れたほうがいいものがないかsnykでチェックしています。
改善してほしいポイント
ドリフト検出については、無償利用の場合、制限はありますが、頻繁にドリフト検出もする必要もないので困っていません。
定期的に実行、またはterraformを実行するときに使う程度です。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
脆弱性診断のGitHub連携やソースコードのチェックは他の方も書かれている通り便利です。
ドリフト検出の使いどころですが、IaCツールで作成したリソースに、手作業による変更は手順を徹底しても仕組化しても無くすことはできないと考えています。そのため、snykのドリフト検出で一定の安心を得ています。
検討者へお勧めするポイント
ドリフト検出は、他に使いやすいと思った製品はまだ見つかっていないのでお勧めします。
その手順も、「アカウント作成→トークン作成→コマンド実行」なので簡単に試せます。
