Snykを導入すればOSSの問題点の一つである脆弱性の問題について支援作業を受けられる。

jp.techcrunch.com

“われわれは開発工程の中へエレガントに統合し、オープンソースの部分に既知の脆弱性を見つけ、それらをフィックスする”

 SnykはまだシリーズAの企業だが、しかし今では月間ダウンロード数が35万もあり、大手の有料ユーザー企業が130社いる。同社は今後、対象とするオープンソースプロジェクトをもっと多くしていきたい、と考えている。

無料の利用プランも

オープンソースプロジェクトの無制限テスト

プライベートプロジェクトで月に100回のテスト

クラウドSCMの統合（Github.comとGitlab.com）

ワンクリック修復

CI / CDパイプライン統合

継続的な監視

 オープンソースプロジェクトだと無料で、無制限でテストが可能だ。

ざっとphpの内容を見てると脆弱性を管理するDBには様々なデータが蓄積されているのがわかる。

snyk.io

OSSが依存するライブラリ類を管理するパッケージツール（ここではComposer)で呼び出し可能な物について脆弱性の課題がかなり上がっている。 

見ればみるほど素晴らしいサービスのように思える。

今日のような開発スピードでは、デベロッパーチームとは別のセキュリティチームがソフトウェアをチェックするやり方は、合理的でも効率的でもない

確かにOSSでセキュリティだけを担当する人材をつけるのは難しい。

サードパーティの企業とソースコードを共有している場合も、どのファイルを使っているのかという“マニフェストファイルにアクセスできれば

・・・

それらの脆弱性が見つかったら、そのコードに依存しているものを壊さずに早く効率的にフィックスする方法のアドバイスと共に、プルリクエストを送る。

依存パッケージの脆弱性も含めての管理となると尚更だ。

是非一度このSnykを導入してみてはいかがだろうか？

関連

snyk.io