Snyk創業者に聞く–DevSecOps、生成AIとソフトウェア開発、SBOM

今回は「Snyk創業者に聞く–DevSecOps、生成AIとソフトウェア開発、SBOM」についてご紹介します。

関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 ソフトウェア開発プロセスにセキュリティを組み込む「DevSecOps」。脆弱性管理ツールを手掛ける米Snyk創業者のGuy Podjarny(ガイ・ポジャーニー)氏は、「DevSecOpsはDevOpsに追従している。新しいスタイルであり、この変化に対応していかなければならない」と話す。同氏に、DevSecOpsの現状や話題の生成AIがソフトウェア開発やセキュリティに与える影響、米国で義務化の実施が迫るソフトウェア部品表(SBOM)の影響などについて聞いた。

 Podjarny氏は、2002年からアプリケーションセキュリティに従事している。この分野のスタートアップだったSanctumに在籍し、その後SanctumがWatchfire、さらにWatchfireが2007年にIBMに買収され、ここでソフトウェアの開発工程からセキュリティを考慮していく「シフトレフト」の意義を学んだという。「シフトレフトを実践すれば、ソフトウェアのリリース後の脆弱性対応といったセキュリティのコストを100分の1にもできることを体験した。しかし、DevOpsの領域にまでは行けなかった」

 IBMの後に同氏は、ウェブのフロントエンド最適化技術を手掛けるBlazeを起業した。2012年にAkamai TechnologiesがBlazeを買収し、同氏はAkamaiの最高技術責任者(CTO)に就任し、DevOpsとアプリケーションセキュリティを推進した。その経験を踏まえて2015年にSnykを創業している。

 Podjarny氏が「DevSecOpsはDevOpsに追従している」と話すのは、DevSecOpsが、ソフトウェアの開発と運用をつなげてビルドやテスト、リリースのサイクルを迅速化することによりスピードと品質を両立させていくDevOpsを前提として、そこにセキュリティも組み込むというものになるからだ。

 「昔ながらのウォーターフォール開発では、ビルド後の脆弱性検査など、一定のタイミングでセキュリティを実践するプロセスがあった。しかし、シフトレフトでは常にセキュリティを実践することになり、スタイルが異なる。DevSecOpsでは、開発者がスタイルの変化に対応していく必要がある」

 「ソフトウェア開発者は、セキュリティの問題によって開発の作業が中断したり、問題解決のための手戻りが発生したりすることを嫌う。セキュリティの問題はなるべく早く見つけて、短い時間で容易に解決できることを求めている」

 Podjarny氏がSnykを創業したのは、こうしたセキュリティにまつわる開発者の悩みを解決すべく、開発者がセキュリティの問題を迅速かつ効果的に対処して解決できるツールを提供するためだったという。

 現在のセキュリティテーマの1つに、ソフトウェアのサプライチェーンセキュリティがある。もともとは、商用ソフトウェアなどに使われるオープンソースのライブラリーやコンポーネントに潜む脆弱性をサイバー攻撃者が悪用し、商用ソフトウェアのユーザーのシステムへ不正侵入を行うなどの被害が大きな問題となったことが背景にある。

 開発者がオープンソースのライブラリーやコンポーネントなどを活用するのは“常識”だが、いざセキュリティの問題が発覚すると、開発者は自身でどのようなライブラリーやコンポーネントなどを利用しているのかを再点検し、パッチ適用を含め問題解決に対処しなければならない。この作業には大きな負担を伴い、本来の開発作業における生産性も大きく損なわれてしまう。

 Podjarny氏は、「Snykではオープンソースソフトウェアの脆弱性対策にも率先して取り組んできた。膨大な脆弱性の情報を収集し、解析し、開発者に効果的な対処方法を伝えて対応を促す。既に多くの開発者に利用され、そうした実績がベストプラクティスとして蓄積され、開発者に活用してもらう。CI/CD(継続的なインテグレーションとデリバリー)のようなスタイルで、あらゆる開発者がセキュリティの作業も容易に実践できるようになってほしい」と話す。

 Podjarny氏によれば、同氏がDevSecOpsの必要性を訴求し始めた10年ほど前は、まずDevSecOpsとは何か、どんな意義があるのかを懇切丁寧に開発者に説明しなければならなかったそうだ。現在では、ソフトウェアのサプライチェーンセキュリティが重要テーマの1つになったように状況が変わり、「少なくともセキュリティの問題に直面したことがある開発者はDevSecOpsを実践しないといけないと認識している。『DevSecOpsとは何か?』という状況から『具体的にDevSecOpsをどうやって実現するのか?』と、開発者から方法を尋ねられるようになった」という。

元記事: https://japan.zdnet.com/article/35211201/
IT関連 #CIO/経営 #トップインタビュー

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
スマートグラス越しの3Dキャラクター、5Gとエッジコンピューティングで高精細に KDDIが実験
クラウドユーザー
2021-03-11 14:44
RubyのJava実装「JRuby」、大口スポンサーのRed Hatが離脱で新たなスポンサーや寄付を募集。有償サポートも開始
Java
2024-07-05 02:17
ウエルシアHD、ソーシャルリスニング基盤を導入–顧客の声を収集・活用
IT関連
2024-08-14 22:35
スマホゲームが1兆円市場に 「巣ごもり」取り込む、仕掛けも多彩
IT関連
2021-05-07 15:59
ジュビロ磐田、試合会場の輻輳対策で衛星ブロードバンドを活用
IT関連
2024-09-26 02:51
Twitter版Clubhouse「Spaces」、フォロワー600人以上なら誰でも開設可能に
アプリ・Web
2021-05-05 11:03
マイクロソフト、新たに2つの「Copilot」を発表–顧客サービスやセールス業務をAIが支援
IT関連
2023-11-17 12:06
暗号化データを無解読で利用できるDataFleetsをエンタープライズデータのLiveRampが買収
ソフトウェア
2021-02-11 21:04
日立、製造・物流分野における自動化・最適化の協創施設を開設
IT関連
2024-07-04 15:22
日産エルグランドを「移動Web会議室」に 専用ディスプレイ設置、運転手付き
企業・業界動向
2021-05-26 19:31
Deno、npmパッケージ込みで単一の実行ファイル生成可能に。Deno Compileがnpmパッケージに対応
Deno
2023-06-05 02:31
NASAのハッブル宇宙望遠鏡、障害による停止から再稼働までの道のり
IT関連
2021-07-22 07:20
富士通、中期経営計画は未達に–実績と手応え、今後の課題
IT関連
2023-04-29 03:13
「Cinnamon」の最新版がリリース–標準のデスクトップ環境より優れている5つの理由
IT関連
2024-12-08 05:20