Snyk integreert applicatiebeveiliging in ontwikkelproces

Abonneer je gratis op Techzine!

Snyk weet steeds meer de aandacht van bedrijven te trekken. Het levert namelijk een applicatie security platform dat in de smaak valt. Hiermee wist het in zes jaar tijd uit te groeien tot een security-speler met een waardering van bijna 4 miljard euro (4,7 miljard dollar). De recente investeringsronde van honderden miljoenen vonden we een goed moment voor een gesprek met CEO Peter McKay.

Snyk is in 2015 opgericht en heeft sindsdien een reputatie opgebouwd. Grote bedrijven als Google en Salesforce maken inmiddels gebruik van de securitytechnologie. Dit in een markt waar best wat concurrentie is, gezien het aantal securityleveranciers dat bedrijven eveneens wil helpen bij het beveiligen van applicaties. McKay geeft echter aan dat Snyk zich wel onderscheidt van de concurrentie. De basis is een Cloud Native Application Security Platform, dat visibility en automatisch herstel belooft voor elk onderdeel van moderne applicaties.

Van traditioneel naar modern

McKay legt uit dat Snyk de traditionele manier van applicatieontwikkeling en -beveiliging wil veranderen. Met traditioneel bedoelt hij developers die software ontwikkelen, om daarna het securityteam te belasten met het beveiligen van de software. Security-professionals beoordelen de beveiliging door te testen op kwetsbaarheden en problemen in de applicaties. Wanneer ze codeproblemen vinden, komen de developers weer in beeld. Deze hele werkwijze is omslachtig, zeker nu organisaties steeds sneller software willen leveren.

Om deze traditionele werkwijze te veranderen, moest de aanpak volgens Snyk op zijn kop worden gezet. “De traditonele security-aanpak is niet schaalbaar. Je moet een betere manier vinden. Een manier die ontwikkelaars extreem creatief, snel én veilig maakt”, stelt McKay. “Daarom brengen we al de securitycomponenten naar de developer. Onze oplossing richt zich dus op ontwikkelaars, zodat zij de securitycontroles in het softwareontwikkelproces opnemen.” McKay spreekt dan ook over een developer-first aanpak.

Wat houdt developer-first in?

Om dit te realiseren, heeft Snyk in het begin vooral technologie gebouwd om open source-kwetsbaarheden op te sporen. Snyk ziet namelijk dat veel open source-componenten in software gebruikt worden, omdat dat het ontwikkelen vereenvoudigt. Denk hierbij aan het gebruiken van softwarelibraries met daarin al geschreven code. Dit versnelt het ontwikkelproces en voegt gerichte functionaliteit toe. Deze voordelen maken open source erg in trek, maar tegelijk ook kwetsbaar. Het is niet precies duidelijk wat er zich in die code bevindt en wie het aanpast. Daarom moet er zo vroeg mogelijk getest worden, al tijdens het coderen en bijvoorbeeld pull requests, stelt Snyk.

Snyk brengt inmiddels echter meer testcomponenten naar het vroege ontwikkelstadium. Static Application Security Testing (SAST) is bijvoorbeeld een belangrijke methode voor het evalueren van de eigen applicatiecode. Veel bedrijven gebruiken SAST voor het testen van nieuwe software en vinden hiermee kwetsbaarheden in eigen code. Volgens Snyk duurt dit bij diensten van concurrenten echter lang. Daarnaast zijn die oplossingen ook niet altijd accuraat (veel vals-positieven). Naar eigen zeggen kan Snyk real-time scannen zodat concrete resultaten tijdens het coderen direct zichtbaar zijn en op te lossen zijn.

Tip: Software testen: niemand twijfelt aan nut, toch gebeurt het te weinig

Daarnaast zag Snyk ook dat Kubernetes en Terraform een steeds belangrijkere rol innemen in het ontwikkelproces. Daarom biedt het ook gerichte functionaliteit voor containers en Kubernetes, in de vorm van Snyk Container en Snyk Infrastructure as Code. De eerste oplossing richt zich op het vinden en oplossen van kwetsbaarheden in container images en Kubernetes-applicaties. De Infrastructure as Code-oplossing richt zich op zijn beurt op onveilige configuraties in Kubernetes- en Terraform-code.

Gezamenlijk vormen de oplossingen het Snyk-platform, dat zoveel mogelijk integreert met de tools die ontwikkelaars gebruiken. Op die manier moet het zo simpel mogelijk te gebruiken zijn. Vragen als ‘wat gaat er fout’ en ‘waarom is het een probleem’ komen daardoor snel naar voren. De oplossing wordt hierbij ook gepresenteerd, al wordt het soms ook geautomatiseerd afgehandeld.

Onderscheiden van concurrentie

De manier van werken blijkt voor veel bedrijven dus aantrekkelijk. We vroegen McKay dan ook om nog eens heel concreet aan te geven hoe Snyk zich onderscheidt, want zoals gezegd is er concurrentie. Hij benadrukt het developer-first idee, maar er is meer. Zo beschikt Snyk over een hele grote database van kwetsbaarheden. “We hebben een team dat niks anders doet dan onderzoek naar kwetsbaarheden in alle verschillende talen en hacks. Veel bedrijven, zelfs securitybedrijven, standaardiseren op onze database”, aldus McKay.

Ook prijst McKay de intelligentie van het platform. Het gaat volgens hem niet alleen om het vinden van problemen, maar ook om de juiste hulp richting de oplossing. McKay noemt als voorbeeld het vinden van duizend kwetsbaarheden. In dat geval kan het platform snelheid realiseren door automatisch beschikbare patches te installeren voor kwetsbaarheden en de juiste prioritering te stellen voor de top kwetsbaarheden waar toch de mens naar moet kijken.

Tot slot noemt McKay nog het uitgebreide karakter van het Snyk-platform. Sommige softwaretestpartijen specialiseren zich alleen in SAST, Snyk wil een totaalaanpak bieden en vervolgens integreren met zoveel mogelijk developmenttools. Daardoor hebben bedrijven idealiter nog één platform nodig voor het vinden van problemen.

Miljardenwaardering

Met het platform en de onderscheidende werkwijze heeft Snyk de interesse getrokken van bedrijven. Inmiddels gebruiken miljoenen ontwikkelaars het product, maar ook andere cijfers tonen groei. McKay spreekt over meer dan 100 procent groei jaar-op-jaar, onder meer qua omzet. Daarnaast zit de waardering enorm in de lift. Waar de waardering in september 2020 nog uitkwam op 2,6 miljard dollar, zorgde een investeringsronde in maart voor een waardering van 4,7 miljard dollar. Onder andere Alphabet, Salesforce en Atlassian hebben inmiddels miljoenen in Snyk gestoken.

De recente investeringsronde van 300 miljoen dollar moet uiteindelijk op meerdere manieren uitgegeven worden. Ten eerste is er uitbreiding van de technologie en het platform. McKay zegt dat dit zowel organisch als niet-organisch kan. In het verleden heeft Snyk immers ook technologie toegevoegd door middel van overnames. Daarnaast moet de business en go-to-market verder groeien dankzij de investering. “We hebben de afgelopen twaalf maanden meer dan 200 mensen aangenomen en de komende twaalf maanden voegen we waarschijnlijk nog 250 mensen toe aan het personeelsbestand”, stelt McKay. Ook ziet hij mogelijkheden om in specifieke regio’s meer te investeren.

De investeringen en plannen tonen al met al aan dat Snyk een gouden toekomst voor zich ziet. We zijn dan ook benieuwd hoe zich dit verder ontwikkelt.

Tip: Veracode spoort kwetsbaarheden in bedrijfsapplicaties op