2021年12月、2013年以来修正されていなかった、広く使用されているログ記録ライブラリの脆弱性により、本格的なセキュリティメルトダウンが発生しました。
オンラインゲームからエンタープライズソフトウェア、クラウドデータセンターまで、ほぼあらゆる場所で見られるオープンソースのログ記録ソフトウェアであるLog4jに、10/10と評価されたLog4Shellの脆弱性が見つかりました。その遍在性により、Adobe、Cloudflare、Twitter、Minecraftなど、数多くの企業が被害に遭いました。セキュリティ専門家はこれを「壊滅的な規模の設計ミス」と評し、不良コードの配布が及ぼす潜在的影響を露呈しました。
ボストンに拠点を置くAppMapは、今週TechCrunch Disrupt Startup Battlefieldに参加し、こうした悪質なコードが本番環境に導入されるのを阻止したいと考えています。このオープンソースの動的ランタイムコード分析ツールは、同社がこの種のツールとしては初だと主張するもので、セキュリティに精通したエリザベス・ローラー氏の発明品です。AppMap設立前は、DevOpsセキュリティのスタートアップ企業Conjurを設立し、同社は2017年にCyberArkに買収されました。また、Generation Health(後にCVSに買収された)の最高データ責任者も務めました。
多数のレガシーソフトウェアを抱える大企業に 2 つの会社を売却した後、Lawler 氏は、開発者が改善を任されたシステムを理解するのに苦労し、複雑なマイクロサービスやクラウド アプリケーションで高速かつ安全なコードを提供することが困難になっている様子を目の当たりにしました。
「人々が物事の仕組みについて、実際には実際の動作とかけ離れたメンタルモデルを持っていることに驚きます」とローラー氏はTechCrunchに語った。「ソフトウェアの仕組みがわからないと、コードを書く際に推測で精一杯になってしまうのです。」
こうしてAppMapが誕生しました。AppMapは、開発者がソフトウェアを開発しながらその動作を可視化し、実行時の問題を未然に防ぐことができるべきだというシンプルな考えに基づいて構築されました。実行時情報を表示しない静的解析ツールとは異なり、3年かけてゼロから構築されたAppMapは、コードエディター内で実行され、どのコンポーネントがどのコンポーネントと通信しているか、スループットとレイテンシ、ネットワーク速度、そしてそれらの間にエラーがあるかどうかを開発者に表示します。これにより、開発者は実用的な洞察を得て、以前よりも迅速に改善を行うことができます。
これらはすべて、インタラクティブなコード エディター拡張機能内で実行されます。AppMap は、コミック アーティストやミュージシャンの協力を得て、できるだけ使いやすく直感的に操作できるように設計しました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「私はデータサイエンティストなので、データがどれほど膨大な量になるかを知っています」とローラー氏は語った。「Googleマップは、地図をパーソナライズし、ローカライズする方法を巧みに示してくれました。ですから、私たちはそれをビッグデータの問題へのアプローチの出発点として活用しました。」
TechCrunch Disrupt に合わせて、AppMap は 3 つの新機能をリリースします。他のエンジニアと共有して共同作業する機能、コードの変更がパフォーマンスとスケーラビリティに影響を与える場合に開発者に警告するパフォーマンス分析、顧客データや機密情報がログ ファイルに漏洩したり、認証や承認が欠落または不適切であったりするなど、コードをコミットする前に開発者のコード エディター内でソフトウェア ランタイム コードの問題を特定できるセキュリティ分析です。
「現在、OWASP Top 10にランクインしているような問題が目に見えるようになりました。静的な問題は、優れたスキャナーが存在するため、発生頻度は減少しています。しかし、設計上の性質に起因する動的な問題には、優れたスキャナーが不足しています。CWE Top 25を見ると、これらの問題のほぼ半分がコード設計の問題です。」
AppMapはオープンソースをベースとしており、製品の変更や新機能の追加においてコミュニティ主導のアプローチをとっていることからもそれが明らかです。開発者は無料で利用できます。「プログラミングにおける自己認識に料金を請求すべきではないと考えています」とローラー氏は言います。「GitHubとの連携でバックグラウンド機能やストレージを提供しなければならない場合、それらは有料サービスとなります。」
シードステージのベンチャーキャピタル支援を受ける未収益スタートアップであるAppMapは、現在2万社以上の顧客を抱え、IBM、NASA、Sonos、Salesforceなどの開発者が同社の製品を利用しており、その数は毎月20%増加しています。また、キャリアのどこかでコーディングの経験を持ち、DevOps、自動化、サイバーセキュリティ、テスト駆動開発の豊富な経験を持つ従業員で構成されるチームも拡大しています。AppMapの技術担当共同創業者であるケビン・ギルピン氏は、自身のキャリアにおけるハイライトを フォードの「Build Your Vehicle Online(オンラインで車両を組み立てる)」ページの開発だと語っています。
2021年にローンチしたばかりですが、このスタートアップのビジョンは、 開発者が不良コードをリリースするのを防ぐだけにとどまりません。 「私たちはアプリケーションの下流にあるものを計測することに多くの時間と労力を費やしてきましたが、創造的なプロセスを計測したことはありませんでした。人々がこのように考え、設計し、創造する様子を実際に観察したことはありませんでした。その瞬間に可観測性データを得ることで、多くの機会が生まれると考えています。AppMapが進化するにつれて、これがパフォーマンス分析を超えて、その領域におけるより支援的な技術になる方法について考えていきたいと思っています。」
カーリー・ペイジはTechCrunchのシニアレポーターとして、サイバーセキュリティ分野を担当していました。それ以前は、Forbes、TechRadar、WIREDなどのメディアに10年以上寄稿し、テクノロジー業界で活躍していました。
カーリーに安全に連絡するには、Signal +441536 853956 にご連絡ください。
バイオを見る
