アソビュー株式会社でSREをやっているzurausaです。
この記事はasoview! Advent Calendar 2019 9日目の記事となります。
#はじめに
当記事はまだ導入検討している段階の試用によって出てきたものであり、一個人の感想です。
また検索結果等は本来有償のツールですので、両製品のスキャン結果のデータ部分は
あまり扱わないように気をつけています。
また本職のセキュリティエンジニアではないため、観点等おかしい部分があるかと思います。
#yamoryとかSnykとは
OSSの脆弱性を検出・解消するセキュリティプラットフォームです。
自分たちが書いたソースコードのロジックではなく、利用しているライブラリに存在する
脆弱性を発見して管理してくれます。
##yamoryとは
2019年8月に株式会社ビズリーチがリリースした製品です。製品ページ
リリースしてからまだ間もないため、HPでもまだ導入事例等は紹介されていません。
##Snykとは
Snyk Ltd.の製品です。製品ページ
リリースから数年立っていることもあり、導入事例も有名企業がいくつも記載されております。
(GoogleとかSalesforceとか...)
いくつかのplanがあり、それに応じて利用できる機能やメンバー数の上限が変わります。
(今回試したのはFree Plan)
発音は"sneak"らしい
https://support.snyk.io/hc/en-us/articles/360000890358-How-do-you-pronounce-Snyk-
#比較
##検索結果
###yamory
Githubリポジトリから追加するか、コマンドラインで追加する方法がありますが、
コンパイル言語を利用している場合にはコマンドラインから追加しないと精度が下がるみたいです。
4段階で検出してくれ、PoCに関してなどはMetasploitやexploit-dbに存在しないものなどでも、
検出してくれます。
Snykにはないが、yamoryだと確認できるものもいくつか確認できました。
ただ他のサイト(参考文献参照)でも言及されていますが、検知ミス、
また一部モジュールに関してバージョン情報が半年ほど更新されていないことがあります。
jqueryにおいて、利用バージョンが3.0.0になっていても、
3.0.0-rc.1の脆弱性が存在するという結果が出てきます。
(CVE-2016-10707参照)
また、axiosの0.18.0の脆弱性(CVE-2019-10742参照)に関しても、2019/12/08時点で
修正された0.18.1が出ており、Snykではそのことが記載されておりますが、
yamoryでは「2019/5/24時点で修正済みのバージョンはリリースされていません。」と記載されております。
もしかしたら新規の脆弱性に関しての検知を重視しており、
既存の脆弱性に関してのDBの更新頻度は高くないのかもしれません。
##UI
###yamory
※一部情報は伏せております。
一件一件がシンプルなため、全体把握がしやすいです。
また列をクリックすることで脆弱性の詳細や対処法の確認、コメントを残すを残すといったことが可能です。
###Snyk
※一部情報は伏せております。
下のイメージのように一件一件が詳細に記載されているため、画面上からの全体把握は難しいです。
##料金辺り
###yamory
- HP上だと記載されておらず、相談した上で決定することになりそうです。
- ただメンバーの上限数は存在しておらず、何人でも招待することは可能です。
###Snyk
- planによって異なります
- Standard
-> 値段:$799=>87486.505 JPY
-> 人数上限:25人まで
- Pro
-> 値段:$1999=>218845.52 JPY
-> 人数上限:50人まで
- Enterprise
-> 値段:料金は相談
-> 人数上限:150人まで
##その他
それぞれの製品にある機能やメリットを書いたり...
###yamory
- (Snykと比較した場合に)日本語のサポートを受けることが出来る。
- (個人的な感想)一件一件overview-> クリック-> 脆弱性詳細という流れで見えるので、
全体として見やすい
###Snyk
- 検索結果をファイルで出力することができる。
-> excelなどに貼り付けて共有する等ができるため、メンバーの上限があっても多数の人に
共有することが出来る。 - Jiraチケットをボタンから起票することができる。
- 修正のためのコマンドなどの生成、プルリクを作成してくれる。(簡単なものだけ)
-> 未検証 - ライセンスの管理
-> Standard以上のPlanのみ
...etc
他にもあるので、詳細に関しては、製品ページを見たほうが早いと思います。
#所感
両製品ともSlackへの連携は可能なので、上手く使えばticket管理することはできそうではあります。
料金等とも考慮する必要はありますが、現状としてはSnykの方が機能として充実している、
またSecConのスポンサーを行っていたりとセキュリティ界隈でのある種の実績はあるのかなという風に感じました。
#最後に
yamoryは出てきたばかりの製品ということもあり、
今後Snykのように他製品との連携機能が増えてくるのではないかと期待しております。
そうなれば、日本語サポートを受けられると言う点で日系企業にとっては大分導入しやすくはなりそうです。
#参考文献