Snykは、三菱電機が開発者向けセキュリティプラットフォーム「Snyk」を導入したことを発表した。
今回の導入により三菱電機は、製品のセキュリティ品質を高める「DevSecOps」と、セキュリティ対策やそのテスト工程を従来に比べて前倒しで実施する「シフトレフト」による製品開発を目指す。同社はSnykの活用により、開発プロセスの早い段階から脆弱(ぜいじゃく)性管理を始めることの重要性について開発者の意識が向上したことを実感しており、シフトレフトに向けて大きな効果が期待できるとしている。
これまで同社は、製品セキュリティに関して、各プロジェクトが独自に対策を行っており、その検討や構築・運用に多くの時間がかかっていたという。
Snykは、コードやオープンソースとその依存関係、コンテナーやInfrastructure as Code(IaC)における脆弱性を発見するだけでなく、優先順位を付けて修正することが可能だ。また、「Git」や統合開発環境(IDE)継続的なインテグレーション/デプロイメント(CI/CD)パイプラインに直接組み込めるため、開発者にとっても使いやすいツールとなっている。
Snykについて三菱電機は、迅速で画一的なDevSecOpsの普及活動を行う上で欠かせないツールだとしている。既存のワークフローに影響を与えず脆弱性スキャンのプロセスを組み込めることや、複数のIDEに対応していることなどを評価した。また、コードやオープンソースソフトウェアだけでなく、コンテナーやIaCも包括的にカバーできること、短期間での導入を容易に実現できることも採用のポイントになった。