[新製品・サービス]

2022年2月16日(水)日川 佳三（IT Leaders編集部）

リスト

　クラスメソッドとラックの「Snyk」は、ソフトウェアの開発環境に組み込んで使える、開発者向けのクラウド型の脆弱性管理サービスである（図1）。バージョン管理ツールのGitや統合開発環境（IDE）、各種CI/CDツールなどに直接組み込んで利用できる。開発中のソースコードや、利用しているオープンソースライブラリ、コンテナイメージ、IaC（Infrastructure as Code）の設定などに含まれる脆弱性を発見し、優先順位をつけて自動的に修正する。

図1：ソフトウェアの開発環境に組み込んで使える、開発者向けのクラウド型の脆弱性管理サービス「Snyk（スニーク）」の概要（出典：Snyk）
拡大画像表示

　大きく4つの機能（ツール）で構成する。

　（1）Snyk Opensourceは、利用しているオープンソースライブラリの脆弱性を発見し、優先順位を付けて自動的に修正する。対象となる言語環境は、.NET環境、C/C++、Elixir、Go、Java、JavaScript、Swift/Objective-C、PHP、Python、Ruby、Scala。

　（2）Snyk Codeは、ソースコードを開発している最中に、リアルタイムにコードの脆弱性を検出して修正する。AIを使うことで、問題のないコードを脆弱であると指摘してしまう偽陽性の症状を減らす。対象となる言語は、Java、JavaScript、TypeScript、Python、PHP、C#、Go。

　（3）Snyk Containerは、コンテナイメージの脆弱性を発見して修正する。

　（4）Snyk IaCは、サーバーなどの構成管理をコード化/自動化するTerraformの設定ファイルと、コンテナ運用基盤であるKubernetesの設定ファイルを検査し、安全でない設定を発見して修正する。