Symbiotic Securityは開発者がコードを書く際にバグを見つけるのを手助けします

本日300万ドルのシードラウンドを発表したSymbiotic Securityは、開発者のコ​​ーディングを監視し、潜在的なセキュリティ問題をリアルタイムで指摘します。他社も同様の取り組みを行っていますが、Symbioticは次のステップ、つまり開発者にこれらのバグを最初から回避する方法を指導することに重点を置いています。

理想的には、開発者はコードリポジトリに取り込まれる前にセキュリティバグを修正するようになり、結果として開発プロセス全体のスピードアップにもつながります。開発者は実務経験と実際に作業している環境で学ぶことができるため、必要な変更を正しく実装する可能性がはるかに高くなります。これは、SuccessFactorsのセキュリティトレーニングを毎年受講させるよりも効果的です。

今年初めに設立された同社は、約1ヶ月前にTerraformなどのインフラストラクチャ・アズ・コード言語に重点を置いたMVPをリリースしました。Symbioticの共同創業者兼CEOであるJerome Robert氏によると、MVPをリリースし、ビジョンを証明することが今回の決定の目的だったとのことです。今後、チームはアプリケーションスタック全体へと拡張し、PythonやJavaScriptなどの言語をサポートしていく予定です。

ロバート氏は、開発者にとって最も使いやすいセキュリティツールであっても、本質的にはセキュリティチームのためのツールであると指摘しました。「セキュリティツールは、セキュリティチームがより優れた警官になれるようにするものであり、開発者を善玉にするものではありません」と彼は言います。「セキュリティツールは、セキュリティチームが1週間中何百ものメッセージを送信し、『間違いを犯しました。修正してください』と訴えるツールなのです。」

一方、開発者は常に、セキュリティ問題の修正と新機能の開発のどちらかを選択する必要があります。

Symbiotic Security の背後にある考え方は、開発者が既に使い慣れているコード補完ツールのように、開発者を正しい方向に導くことです。Symbiotic は理想的には、開発者がまだコーディング作業中であり、継続的インテグレーションおよびデリバリープラットフォームがコードの問題をスキャンし始めるずっと前に、内部ループ内のバグを修正するのを支援します。スキャンが開始されると、Jira チケットや追加のコードレビュープロセスが代わりに実行されるため、プロセスはすぐにスローダウンします。

Symbioticはこの点でも一歩先を行きます。「（問題を）修正したり検出したりできるようにするだけでは不十分です」とロバートは説明します。「セキュリティに関するトレーニングも必要です。開発者はトレーニングが大好きです。これは絶対的で100%確実なことです。しかし、セキュリティトレーニングは面倒です。」