Snyk移行により脆弱性の誤検知が激減。スキャン頻度も向上

導入背景

Snyk導入前は全社標準のオンプレツールを利用していました。このツールは利用環境が限られており、同時に複数名が利用できない状態でした。また、すぐに脆弱性をスキャンできないだけでなく誤検知が非常に多く、実害有無の精査には非常に多くの工数がかかっていました。
これらの課題を解消するため、開発するソースコードに対し誰もが必要なタイミングで脆弱性を確認できることを目指し、ツール置き換えを検討しました。

選定理由

ツール比較の際は使い勝手や誤検出の少なさだけでなく、導入構成が弊社のセキュリティポリシーに適合している必要がありました。Snyk導入に至ったのは、これらを満たしたことが理由です。

比較したサービス

• Coverity
  
• SonarCloud（SonarQube）
  

導入の成果

従来ツール利用時は誤検知が約4,000件もありましたが、Snyk導入によって数十件程度へと激減しました。また脆弱性スキャンもIDEツール上のプラグインにより、いつでも利用可能となり、開発者やレビュワーが各々で随時作業できるようになりました。

導入時の苦労・悩み

使い慣れたSonarQubeの利用を要望していた開発者達を説得することと、品質管理部門から社内で定められた標準ツール以外を承認いただくことに苦労しました。加えて自社セキュリティ規準に則ったシステム構成も必要となり他部門の協力を得る必要がありました。

導入に向けた社内への説明

よく使う機能

アーキテクチャ

アーキテクチャの意図・工夫

会社資産へのネットワークアクセスには厳しい会社ルールが存在したため、これをクリアするためのSSOやプロキシを利用するアーキテクチャ構成の構築が必用でした。

ツールの良い点

ツールの課題点

その他

Snykを使っている中で失敗したエピソード

これは使える！と思って飛びついた新機能が、我々の開発構成や採用しているビルドツールの条件などにより利用できないことがありました。利用可能になるのを期待して待っています。

ツールを検討されている方へ

スキャンが高速であり、用途に応じたUIで手軽に利用できる使い易さと、どんどん強化される多様な機能、進化するゼロデイ対応やスキャン精度の向上などなど、必要に応じた利用が可能な、柔軟で奥深いプロダクトです。標ぼうされているとおり「開発者」こそ利用価値を実感するのではないでしょうか。