この記事はSnykを使ってセキュリティにまつわる記事を投稿しよう!【PR】Snyk2日目の記事です。
前回は、Snykの脆弱性データベースってどれくらい凄いの?でした。Snykの脆弱性データベース、PoCがあるのか、どうやって修正を行うのか、などなどめちゃくちゃ見やすいんですよね。
脆弱性診断は(しばしば)遅すぎる
皆さん、特に大きめの会社の中でコードを書いているような方々は、「脆弱性診断」というのを受ける機会が多いと思います。多くの場合、それは開発の終盤で計画されることが多いです。基本的には脆弱性というのはE2Eでみるというソリューションが多いから、テストの最終段階という見方がされる、あたりが主な理由でしょうか。
では実際に、全てが完成してから脆弱性診断を行っていいのかと言うと、そんな事はありません。特定の脆弱性というのは、そんなに多くのレイヤーをぶっ通していることは少なくて、あるレイヤーでの設定やコーディングがミスっている場合がほとんどです。単に、確認手段がエンドツーエンドだから後ろに倒れているだけなのです。
そして、こういった後ろに倒れた診断というのは、開発効率を大きく阻害します。
私は以前、似たような問題として「コードレビューの限界」という形で発表しています。
つまり、こういうことが容易に起こりえます。
ではどうすればいいのか
先のレビュー資料では、コードを書くときから、ペアプロやモブプロによってレビューしながら進めよう としました。
これはは、同様の解法をある程度はセキュリティについても言うことができます。設計やコーディング段階から、セキュリティを考慮した取り組みをすればいいのです。
こういった取り組みは、QAフェーズをどんどん手前側に「Shift Left」と呼ばれ、多くの組織で取り入れられ始めています。
しかし、ここで一つ大きく問題になるのは、 多くの組織でセキュリティに関することは別部署や別会社 になっていることが多いことです。つまり、チームでペアプロやモブプロを行おうにも、その観点で指摘してくれる人がいる、そんな組織は非常に少ないと思います。
そこでSnyk Code です!!
Snyk Codeというのは、一言で言えば**「凄腕AIセキュリティエンジニア」**です。一日目でも触れられていたSnykの膨大なセキュリティリソースなどで学習をしたAIが、その場でコードをスキャンし、脆弱性やコードの改善点を指摘してくれます。(脆弱性に特化したGithub Copilotみたいなもの、と思ってもいいかもしれません)
Snyk Codeは、スキャンの一部としてももちろん動作するのですが、それよりもシフトレフトを体験できるのがVisual Studio CodeなどのIDEのプラグインとして取り込んだ場合です。実際の動作している様子はこんな感じです。
このように、コードを書きながら、リアルタイムに脆弱性のフィードバックを受けることができるのです。
Snyk Codeの設定方法
Visual Studio Codeであれば、やり方は非常にシンプルです。ExtensionsでSnykと検索すれば以下のように表示されるはずで、それをインストールし、認証を行えばほぼ完了です。
補足: うまく接続できない人へ
上記でうまくいく、、、はずなのですが、なぜ異様に認証に時間がかかったりすることがあります。そういう場合は、一旦Snykにログインし、 アカウントページ にあるAPIトークンを、SnykのVSCodeの設定にあるAPIトークンに貼り付けると、うまく動きます。
Snyk Codeへの今後への期待
現状、残念ながらSnyk Codeの対応言語は比較的限られています(JS/TS、Python、Javaが公式サポート)
しかしながら、SnykはOSSのスキャンツールとして有名なFossIDを買収するなど、コードスキャンへのフィードバックが期待できる動きを見せており、今後C/C++やモバイル系など、様々な分野への展開が期待できます。
また、コードという意味ではSnykはIaCのスキャンという領域にも取り組んでおり、こちらも今後CDKなど最新の環境への対応が行われていけば、さらにシフトレフトな開発が進んでいくと思います。
DevOpsが当たり前になったように、DevSecOpsも当たり前の文化になるのはもはや遠い未来の話ではないでしょう。その時代にむけた一歩として、Snykには非常に期待をしています。