Snyk社、新しいコンテナレジストリとの統合を発表

はじめに

こんにちは。Snyk社の日本窓口 山﨑 実（japan@snyk.io）と申します。

掲題の発表がSnyk社からありましたので、ご紹介させて頂きます。
ただその前に「そもそもSnykとは何でしょうか？」という方がほとんどかと思いますので、まずはSnykについて触れていきます。

オープンソースが抱える課題

最近のソフトウエア開発では、オープンソース（OSS）が多用されています。
OSSは簡単に入手でき、しかも先進性が高いため、積極的に利用されています。

しかしながら「課題が多く、管理が大変」という声も聞きます。
例えば、以下のような課題があげられます。

OSSのセキュリティー脆弱性を突かれるため、脆弱性を簡単に把握したい。

OSSのライセンスポリシーは多岐に渡るため、確実な把握と順守をしたい。

バグやアップデート情報がタイムリーに把握できない。

そもそも、OSSが使われているのかが把握しにくい。

課題の克服方法

上記のような課題を克服する方法として、ソフトウエア・コンポジション解析（SCA：Software Composition Analysis）と呼ばれるカテゴリーのツールを利用することが、一般化してきています。

Synopsys社のBlack Duck Hub、WhiteSource社のWhiteSource、FOSSID社のFOSSID等が代表的ですが、これらの製品を使ってソフトウエアをスキャンすると、製品の開発元が持つ脆弱性・ライセンス規約等が入ったデータベースと突き合わせて、以下が可能になります。

ソフトウエアのどこに、どのオープンソースが使用されているかを可視化

脆弱性を持つオープンソースの使用を指摘し、解決策も提示

各オープンソースのライセンスポリシーを一覧表示

バグ情報やアップデートの通知、一覧表示

これらは多くの場合、JenkinsやBamboo、Circle CI、npm等のCI / CD（Continuous Integration／Continuous Delivery）ツールとの統合が可能で、開発ー＞ セキュリティーチェック ー＞本番環境にリリースといういわゆる「DevSecOps」のセキュリティーチェックに組み込まれます。

Snykは、まさにこのカテゴリーの製品となります。

Snykの持つ先進的な機能と特徴

同カテゴリー内でも、Snykには、他製品に無い先進的な機能と特徴があります。

劇的な短時間でセキュリティーチェック（依存性含む）

CI / CDで作られるマニフェストファイルをスキャンするので、ソースコードやバイナリを直接スキャンするより早く、かつ依存性含めてチェックが可能です。

脆弱性パッチによる自動修復

脆弱性が発見されたら、パッチの自動適用で修復します。

コンテナも対象

コンテナレジストリと統合して、セキュリティーチェックを行います。

手の届く価格

代表的なSCAツールはとても高価ですが、それらに比べ半値位です。

新しいコンテナレジストリとの統合

上記のような機能と特徴を持つSnykですが、コンテナ技術を使ったソフトウエアが劇的に増えている事実を踏まえて、下記のコンテナレジストリとの統合モジュールが、最近新たに追加されたことを発表しました。

Amazon Elastic、Google、Microsoft Azureのコンテナレジストリ
（ECR、GCR、ACR）など

さらに、Artifactory、Quay、Nexusなども、まもなく追加されます。

これらの新しい統合により、レジストリ内から直接コンテナイメージをスキャンするツールとしての位置づけを確固たるものにしたと言えます。

次の画像は、新しいコンテナレジストリ統合オプションを示しています。

統合が設定されたら、イメージをSnykプロジェクトとしてインポートし、テストおよび監視します。

各イメージについて、テスト用のDockerfileを含めることもできます。すると、親イメージの修復に関するSnykの追加修復アドバイスを受け取ることができます。

おわりに

Snykは、発見した脆弱性を自動修復し、コンテナ技術を使ったソフトウエアも対象、短時間で依存性も含めてセキュリティーチェック、更には安価ということで、海外では急速にシェアを伸ばしています。

これから日本国内でも、販売を開始する予定です。
ご興味あれば、是非、お問い合わせ頂ければと存じます。

出典

https://snyk.io/blog/announcing-new-container-registries-integrations/