2019.08.14

Snyk社、新しいコンテナレジストリとの統合を発表

山﨑実
OSSコンソーシアム 会長
このエントリーをはてなブックマークに追加

はじめに

こんにちは。Snyk社の日本窓口 山﨑 実(japan@snyk.io)と申します。

掲題の発表がSnyk社からありましたので、ご紹介させて頂きます。
ただその前に「そもそもSnykとは何でしょうか?」という方がほとんどかと思いますので、まずはSnykについて触れていきます。

オープンソースが抱える課題

最近のソフトウエア開発では、オープンソース(OSS)が多用されています。
OSSは簡単に入手でき、しかも先進性が高いため、積極的に利用されています。

しかしながら「課題が多く、管理が大変」という声も聞きます。
例えば、以下のような課題があげられます。

OSSのセキュリティー脆弱性を突かれるため、脆弱性を簡単に把握したい。

OSSのライセンスポリシーは多岐に渡るため、確実な把握と順守をしたい。

バグやアップデート情報がタイムリーに把握できない。

そもそも、OSSが使われているのかが把握しにくい。

課題の克服方法

上記のような課題を克服する方法として、ソフトウエア・コンポジション解析(SCA:Software Composition Analysis)と呼ばれるカテゴリーのツールを利用することが、一般化してきています。

Synopsys社のBlack Duck Hub、WhiteSource社のWhiteSource、FOSSID社のFOSSID等が代表的ですが、これらの製品を使ってソフトウエアをスキャンすると、製品の開発元が持つ脆弱性・ライセンス規約等が入ったデータベースと突き合わせて、以下が可能になります。

ソフトウエアのどこに、どのオープンソースが使用されているかを可視化

脆弱性を持つオープンソースの使用を指摘し、解決策も提示

各オープンソースのライセンスポリシーを一覧表示

バグ情報やアップデートの通知、一覧表示

これらは多くの場合、JenkinsBamboo、Circle CI、npm等のCI / CD(Continuous Integration/Continuous Delivery)ツールとの統合が可能で、開発ー> セキュリティーチェック ー>本番環境にリリースといういわゆる「DevSecOps」のセキュリティーチェックに組み込まれます。

Snykは、まさにこのカテゴリーの製品となります。

Snykの持つ先進的な機能と特徴

同カテゴリー内でも、Snykには、他製品に無い先進的な機能と特徴があります。

劇的な短時間でセキュリティーチェック(依存性含む)

CI / CDで作られるマニフェストファイルをスキャンするので、ソースコードやバイナリを直接スキャンするより早く、かつ依存性含めてチェックが可能です。

Snyk_02.png

脆弱性パッチによる自動修復

脆弱性が発見されたら、パッチの自動適用で修復します。

Snyk_03.png

コンテナも対象

コンテナレジストリと統合して、セキュリティーチェックを行います。

手の届く価格

代表的なSCAツールはとても高価ですが、それらに比べ半値位です。

新しいコンテナレジストリとの統合

上記のような機能と特徴を持つSnykですが、コンテナ技術を使ったソフトウエアが劇的に増えている事実を踏まえて、下記のコンテナレジストリとの統合モジュールが、最近新たに追加されたことを発表しました。

Amazon Elastic、Google、Microsoft Azureのコンテナレジストリ
(ECR、GCR、ACR)など

さらに、Artifactory、Quay、Nexusなども、まもなく追加されます。

これらの新しい統合により、レジストリ内から直接コンテナイメージをスキャンするツールとしての位置づけを確固たるものにしたと言えます。

次の画像は、新しいコンテナレジストリ統合オプションを示しています。

snyk_04.png

統合が設定されたら、イメージをSnykプロジェクトとしてインポートし、テストおよび監視します。

各イメージについて、テスト用のDockerfileを含めることもできます。すると、親イメージの修復に関するSnykの追加修復アドバイスを受け取ることができます。

snyk_05.png

Snyk_06.png

おわりに

Snykは、発見した脆弱性を自動修復し、コンテナ技術を使ったソフトウエアも対象、短時間で依存性も含めてセキュリティーチェック、更には安価ということで、海外では急速にシェアを伸ばしています。

これから日本国内でも、販売を開始する予定です。
ご興味あれば、是非、お問い合わせ頂ければと存じます。

出典

https://snyk.io/blog/announcing-new-container-registries-integrations/

この記事の著者:山﨑実

OSSコンソーシアム 会長

IT業界に携わってから37年。
古くはLinux OSの啓蒙活動と事業開発に携わり、
ここ10年はOSS(オープンソース)
を利用したシステム構築に携わる傍ら、海外ベンダーの日本窓口も担う。
20186月からは、OSSコンソーシアムの会長を務め、
DevOpsには欠かせないOSSの啓蒙活動も推進している。


DevOps Hubのアカウントをフォローして
更新情報を受け取る

  • Like on Feedly
    follow us in feedly

関連記事

このエントリーをはてなブックマークに追加

お問い合わせ

DevOpsに関することなら
お気軽にご相談ください。

Facebook、TwitterでDevOpsに関する
情報配信を行っています。