Gunosyは、ソフトウェア開発者向けの脆弱性管理ツール「Snyk」を導入した。同ツールを提供するSnykが4月11日に発表した。
同ツールは、コードやオープンソースとその依存関係、コンテナーやInfrastructure as Code(IaC)における脆弱性を見つけるだけでなく、優先順位をつけて修正できる。
Gunosyでは、情報キュレーションアプリ「グノシー」をはじめとしたメディア事業や広告事業などを展開している。情報が増え続ける社会において安全に情報を届けるため、本格的なセキュリティ対策を推進している。
Snyk導入の契機となったのは、2021年末に発見されたJava向けのログ出力ライブラリー「Apache Log4j」の脆弱性に関する問題だった。同社では、Log4jの脆弱性が問題になった際、脆弱性の影響箇所を人海戦術で調査し対応していたが、セキュリティ対策を包括的・網羅的に実施する点に課題を感じていたという。
そこで同社は、脆弱性管理ツールの採用を検討。数多くのセキュリティツールの中で、Snykはセキュリティ上の問題箇所を指摘した上で修正方法まで提案するため、開発者の負担にならないという点を評価した。
また、検出した多くの脆弱性をタブで絞り込むことにより、どのように修正すればどの程度脆弱性を減らせるのかをシミュレーションできることで、開発者のモチベーションにもつながるのではないかとしている。さらに、セキュリティ対策の網羅性を重視する同社にとって、ダッシュボードで脆弱性管理を容易にできることもポイントだった。同ツールのダッシュボードは見やすく、分かりやすいため、認知負荷が少ないことも導入の決め手になった。
今後の展開についてGunosyは、Snykを利用しながら開発者全員が脆弱性に関する知識を学び、安全にコードを書く方法を学んでいくという。加えて、同ツールを活用し、日々の開発サイクルの中にセキュリティを取り込むことで、プロダクトとしてのセキュリティを担保し、維持し続けたいとしている。