このワークショップは AWS から提供されている Security for Developers ワークショップの一部を Snyk に置き換え、 Snyk を体験いただくワークショップです。
このワークショップでは、以下のアカウントが必要です。
- AWS アカウント
- 以下のいずれかのアカウント(Snyk へのアカウント登録に利用します)
- Gmail
- GitHub
- BitBucket
- AzureAD
- Docker ID
SCA (Software Composition Analysis) とは、ソースコードで利用されている、オープンソースのセキュリティ解析を指します。
Snyk Open Source は SCA 製品の 1 つで、各オープンソースの依存関係を含めて、オープンソースの脆弱性を解析します。
SAST (Static Application Security Testing) とは、ソースコードに対してのセキュリティ解析を指します。
Snyk Code は SAST 製品の 1 つで、オープンソースコミットを学習エンジンとした AI を利用し、誤検知が少なくなるよう日々開発されている製品です。
今回は以下の構成になります。 このワークショップでは、 Snyk Open Source と Snyk Code を利用します。
APPENDIX として、AWS CodePipeline と Snyk Open Source の統合機能のハンズオンもありますので、時間が余ったら試してみてください。
このワークショップを全て完了するには 2.5 から 3 時間かかると思います。スキップできるオプションモジュールもありますが、ぜひ時間をかけてすべてのモジュールを試してみることをお勧めします。
パート別の目安時間は以下の通りです。
- パート1(SAST, SCA のチェック, コンテナイメージのビルドまで):1.5 時間
- パート2(パート1 に加えて、セキュアコードレビュー, Snyk マネージドアクション):2.5 から 3 時間