[新製品・サービス]
デロイト トーマツ、「Snyk」を活用してセキュリティのシフトレフトを図るDevSecOps支援サービス
2023年1月24日(火)日川 佳三(IT Leaders編集部)
デロイト トーマツ ウェブサービス(DWS)は2023年1月24日、ユーザー企業のDevSecOps推進を支援するSIサービスを提供すると発表した。ユーザー企業のソフトウェア開発工程に「Snyk」を用いて脆弱性管理の仕組みを実装し、セキュリティのシフトレフトを実現する。極力、前工程でソースコードに潜む脆弱性を検知して対処できるようにする。Snykの導入支援、運用代行、ライセンス販売など、Snykを活用した脆弱性管理を網羅する。価格は個別見積もり。
デロイト トーマツ ウェブサービス(DWS)は、ユーザー企業のDevSecOps推進を支援するSIサービスを提供する。ユーザー企業のソフトウェア開発工程に「Snyk」を用いて脆弱性管理の仕組みを実装し、セキュリティのシフトレフトを図るサービスである。極力、前工程でソースコードに潜む脆弱性を検知して対処できるようにする。
図1:ユーザー企業のソフトウェア開発工程に脆弱性管理ツール「Snyk」を組み込んでセキュリティのシフトレフトを実現するDevSecOps支援サービスの概要(出典:デロイト トーマツ グループ)拡大画像表示
同サービスは、体制の構築、導入支援、運用代行、ライセンス販売など、Snykを用いた脆弱性管理に求められる要件を網羅する。提供するサービスの内容や価格はアセスメントを経て決定する個別見積もりとなる(図1)。
例えば、運用代行では、ユーザー企業がソースコードをDWSに提出し、DWSがSnykで脆弱性をスキャンするといったサービス形態となる。ユーザーが自社で脆弱性をスキャンするケースに向けて、Snykのライセンスも販売する。
Snykは、米Snykが開発した、ソフトウェアの開発環境に組み込んで使う脆弱性管理クラウドサービスである。バージョン管理ツールの「Git」や統合開発環境(IDE)、各種CI/CDツールなどに組み込んで使う。開発中のソースコードや利用しているオープンソースライブラリ、コンテナイメージ、IaC(Infrastructure as Code)の設定などに含まれる脆弱性を検出し、自動的に修正する。
