67 StackHawk Bewertungen
Gesamtbewertungsstimmung für StackHawk
Melden Sie sich an, um die Bewertungsstimmung zu sehen.
Mein Team begann vor ein paar Monaten mit der Nutzung von Stackhawk für nur eine Anwendung, die ein Website-Produkt unterstützt. Es bietet uns potenziell übersehene Sicherheitsrisiken und ermöglicht uns zusätzliche Verifizierungsdaten, dass Risiken/Probleme wie erwartet gemindert werden.
1. Einfach. Stackhawk bietet Werkzeuge, die unglaublich einfach einzurichten sind. Sie bieten großartige Dokumentation, um die CLI zu nutzen. Ich empfehle jedoch auch die Web-Benutzeroberfläche, da die Konfiguration sehr unkompliziert ist.
2. Informativ. Die Ergebnisse der Stackhawk-Sicherheitsscans sind fantastisch. Die Details zu identifizierten Risiken/Elementen sind nützlich, klar und schön visualisiert. Das Web-Tool bietet auch Hilfsmittel (z. B. Kopieren als cURL), um spezifische Testfehler zu reproduzieren oder weitere Diagnosen durchzuführen.
3. Gründlich für APIs. Schließlich sind die Sicherheitsscanning-Tools für API-basierte Anwendungen/Systeme außergewöhnlich. Besonders bei einer strikt typisierten Architektur wie GraphQL kann Stackhawk wirklich wertvolle Ergebnisse für relativ geringe Einrichtungs- und Aufwandskosten liefern. Bewertung gesammelt von und auf G2.com gehostet.
Ich würde nicht sagen, dass mir momentan etwas von Stackhawk nicht gefällt. Allerdings haben wir in der relativ begrenzten Methode, mit der wir das Tool verwendet haben, einige Empfehlungen zur Überlegung.
1. Organisation nach Problembereich. Die Ausgaberisiko-Elemente sind schön gekennzeichnet. Es wäre jedoch wertvoll, Tags oder Bereiche im Voraus bereitzustellen, die die Art des durchgeführten Scans anpassen/modifizieren (z. B. Risiken für Cross-Site-Scripting anvisieren).
2. Technologie- oder stack-spezifische Scans. Unsere Anwendung ist eine Ruby on Rails-Website und Stackhawk behandelt diese derzeit als generische Webanwendung. Das ist kein Problem, aber wenn Stackhawk sich erweitert, wäre es interessant, sich auf wertvolle Tests zu konzentrieren, die für die aktuelle Architektur einer Anwendung relevant sind.
3. Github-Sicherheitsprobleme. Da wir Github-Aktionen für CI verwenden, wäre es großartig, eine Integration zu sehen, bei der Stackhawk-Risiken direkt in die Sicherheitsartikel des Repositories geschrieben werden. Ich bin sicher, dass dies heute bereits möglich ist und es nur eine Frage der Zeit ist, bis es eingebaut wird. Bewertung gesammelt von und auf G2.com gehostet.
Can find the most common vulnerabilities in common web applications. Easy to use and nice UI. Bewertung gesammelt von und auf G2.com gehostet.
It comes nowhere near close to a real pen-testing, and it doesn't find many vulnerabilities in GraphQL. Bewertung gesammelt von und auf G2.com gehostet.
1. Umfassende Einblicke - Innerhalb einer Stunde nach der ersten Einrichtung hatte ich umsetzbare Vorschläge für Probleme, die ich wahrscheinlich sonst nicht entdeckt hätte. Besonders bemerkenswert war, dass es Fälle identifizieren konnte, in denen mein Code bei feindlichen Eingaben fehlverhalten würde, obwohl der Code aus logischer Sicht völlig in Ordnung schien; der eigentliche Übeltäter war wahrscheinlich eine Mischung aus Softwareversionen und Bibliotheksabhängigkeiten, aber dieser Einblick ermöglichte es mir, eine sichere Umgehungslösung zu entwickeln.
Es gab auch viele andere Vorschläge, die sehr willkommen waren, und ich fühle mich viel sicherer, dass ich im Sinne meiner Benutzer gehandelt habe, nachdem ich diese Änderungen umgesetzt habe.
2. Einblicke sind leicht zu replizieren - die Anfrage und Antwort sind für jeden Aufruf detailliert, sodass Sie sie selbst überprüfen können.
3. Ein letzter erwähnenswerter Pluspunkt ist, dass es einfach ist, es in Ihre CI/CD-Pipeline auf den meisten der beliebten Repository-Hosting-Seiten zu integrieren. Es ist auch hochgradig konfigurierbar - Sie können entscheiden, wie lange der Scanner insgesamt und für jede einzelne Regel, die er überprüft, laufen soll. Dies macht es einfacher, es aufrechtzuerhalten, da Sie möglicherweise leichtere Überprüfungen wünschen, wenn Sie es häufig ausführen. Bewertung gesammelt von und auf G2.com gehostet.
Das Setup ist im Vergleich zu einigen Konkurrenten nicht das einfachste. Man muss ein Docker-Image herunterladen und den Scanner ausführen oder es in die CI/CD-Pipeline integrieren. Dies ist jedoch nur ein kleiner Kritikpunkt, und ich war in weniger als 20 Minuten einsatzbereit. Bewertung gesammelt von und auf G2.com gehostet.
Das StackHawk-Tool hat eine großartige Dokumentation und ist sehr intuitiv für einen Entwickler und eine DevOps-Person einzurichten. Mit StackHawk können wir Schwachstellen in einer laufenden Umgebung finden, anstatt in einer statischen Umgebung, was bedeutet, dass wir uns der Bedrohungen für unsere Anwendung in einer Live-Umgebung bewusst sind. StackHawk verfügt über zahlreiche CICD- und Benachrichtigungsintegrationen, obwohl einige beliebte Benachrichtigungskanäle wie Discord fehlen, die in den meisten persönlichen Projekten verwendet werden. Bewertung gesammelt von und auf G2.com gehostet.
StackHawk fehlt die Funktion, optionale Integrationen für bestimmte Anwendungen und Umgebungen festzulegen. Alle Scan-Ergebnisse von allen Anwendungen und Umgebungen werden an alle aktivierten Integrationen gesendet. In der Datadog-Integration wird das Gesamtrisikoniveau nicht gesendet, und es ist umständlich, benutzerdefinierte Parsing-Regeln einzurichten, um das Risikoniveau zu berechnen und darauf basierend zu alarmieren. StackHawk erfordert ein Docker-Image für das Ausführen von Tests in CICD, und nicht alle Anwendungen sind containerisiert, was dies für nicht containerisierte Anwendungen inkompatibel macht. Ein JUnit-Berichtsformat wäre eine ausgezeichnete Ergänzung zu den bestehenden JSON- und PDF-Berichtsformaten gewesen. Bewertung gesammelt von und auf G2.com gehostet.
Es findet schnell den Fehler und unterstützt unser Team, indem es diese Sicherheitslücke behebt. Es hilft meinem Team auch bei der REST- und GraphQL-API-Überprüfung und einfachen Fehlerdokumentationen. Es ist einfach zu bedienen. Bewertung gesammelt von und auf G2.com gehostet.
Bis zu diesem Datum habe ich keine Probleme mit StackHawk gefunden. Bewertung gesammelt von und auf G2.com gehostet.
Stackhawk ist ein praktisches Werkzeug, wenn es um Sicherheitstests geht. Das Tool hilft mir, anfällige Fehler zu vermeiden. Die Benutzeroberfläche von Stackhawk ist erstklassig und hat lebendige Farben. Bewertung gesammelt von und auf G2.com gehostet.
Stackhawk ist nicht ideal, wenn es um die Einrichtung der Software geht, da es ein Docker-Image für den Betrieb in der CI/CD-Pipeline erfordert, was es für nicht containerisierte Anwendungen ungeeignet macht, und sein Support-Team ist das beste. Bewertung gesammelt von und auf G2.com gehostet.
In keiner bestimmten Reihenfolge:
Ich liebe ihr UI/UX. Es stellt Probleme klar dar, sodass ich sie leicht an Junior-Programmierer weitergeben kann, um sie zu untersuchen und zu beheben, mit nichts weiter als einem Link zu einem Problem oder einem Scan. Es bietet gute Erklärungen für die Probleme, die es kennzeichnet, sowie Links zu Blogartikeln über die Probleme (manchmal spezifisch für den Umgang damit in unserem speziellen Framework). Es enthält auch detaillierte Anfragedaten, einschließlich eines cURL-Befehls zur Reproduktion des Problems, des Antwortkörpers und hebt "Beweise" hervor, die es gefunden hat, um zu beweisen, dass ein Problem kein Fehlalarm ist.
Ihre PDF-Berichte sind nicht nur eine Druckversion des Dashboards, sondern ein gut formatiertes, gut aussehendes, PDF-spezifisches Design, das ein gutes Ergebnis für Kunden ist oder einfach um unsere Sicherheitsprobleme zu einem bestimmten Zeitpunkt zu dokumentieren. Ihr Dashboard ist auch leicht zu verstehen.
Ich mag, dass im Gegensatz zu anderen statischen Analysetools, die Code scannen, um potenzielle Schwachstellen zu bewerten, StackHawk Ihre Website scannt, um tatsächlich Schwachstellen auszulösen und Beweise zu liefern. Durch diese Methode hat StackHawk XSS-Schwachstellen gefunden und vor anderen potenziellen Problemen gewarnt, die andere Tools nicht gefunden haben und die klar reproduzierbar waren. Auch ist diese Methode vertrauenswürdiger und hat viel weniger Fehlalarme produziert als die Codeanalyse. Unser Unternehmen verwendet immer noch statische Codeanalyse, da sie schnell und günstig ist (gut für kontinuierliche Integration), aber wir betrachten StackHawk jetzt als das definitive Tool für die programmatische Bewertung von Sicherheitslücken.
Ich mag auch ihr Preismodell. Die kostenlose Stufe ist wirklich nützlich, die Preisupgrades sind sinnvoll, und ich kann alles selbst erledigen. Mehrere Konkurrenten bieten ähnliche Scanprodukte an, kosten jedoch Tausende von Dollar pro Jahr und erfordern Gespräche mit einem Account-Manager zur Einrichtung. Ich habe mit ein paar Vertriebsmitarbeitern für andere Produkte gesprochen, und als gemeinnützige Organisation, die die Kosten niedrig halten möchte, haben sich zwei verschiedene Vertriebsmitarbeiter nie bei mir über ermäßigte Pläne zurückgemeldet (und ihre kostenlosen Pläne waren nur begrenzte Testversionen). Einen habe ich nie ausprobiert, weil das gesamte Produkt hinter einer Bezahlschranke war, was für größere Kunden in Ordnung ist, nehme ich an, aber für mich unzugänglich. Bewertung gesammelt von und auf G2.com gehostet.
Der einzige Nachteil von StackHawk bisher ist die Zeit, die ein Scan benötigt. Während die statische Code-Analyse nur Minuten oder sogar Sekunden dauern kann, wenn man sich auf die Dateien in einem bestimmten Änderungssatz konzentriert, benötigen die Scans von StackHawk Stunden, um abgeschlossen zu werden, und erfordern, dass wir entweder die Kapazität unseres Testservers erhöhen oder die Maschine eines Entwicklers dem Scan widmen. Langsame Scan-Zeiten sind in Ordnung, wenn wir uns auf die Sicherheit für eine bestimmte Bewertung oder vierteljährliche Überprüfung konzentrieren, aber wir können es nicht als Teil unserer kontinuierlichen Integrationspipeline "out of the box" verwenden. Sie haben zwar Dokumentationen zur Reduzierung der Scan-Zeiten durch Optimierung der betrachteten Routen, Parallelisierung bestimmter Bereiche der Website usw., aber wir müssten eine ganze Menge Infrastruktur einrichten, um dies zum Laufen zu bringen. Vielleicht eines Tages, aber es ist sicherlich nicht so einfach wie das Anschließen eines Code-Analyzers an Github.
Außerdem, wenn man ein Problem mit der Website gelöst hat, konnte ich keinen Weg finden, nur dieses eine Problem erneut zu überprüfen und den Scan-Bericht zu aktualisieren, da es keine (oder anscheinend keine) zentrale Liste von Problemen gibt. Stattdessen hat man eine Liste von Scans, und obwohl Scans zuvor zugewiesene/akzeptierte/ignorierte Probleme in neuen Scans als solche anzeigen, werden Scans als eigenständige Inseln dargestellt. Das bedeutet einfach, dass wir, um einen "sauberen" Bericht zu erhalten, einen völlig neuen Scan durchführen müssen, was Zeit kostet, es sei denn, wir verbringen auch Zeit damit, unsere Scan-Zeit zu optimieren. Bisher habe ich es einfach über Nacht laufen lassen, was meine aufgewendete Zeit minimiert, aber es wäre schön, nur ein Problem erneut zu überprüfen. Bewertung gesammelt von und auf G2.com gehostet.
Viele Menschen sind nicht mit Anwendungssicherheitstests, Entwicklungs-Sicherheitsoperationen oder den dynamischen Werkzeugen vertraut, die zur Prüfung und Überwachung von Produkten verwendet werden können. Ich liebe, wie StackHawk einen einzigen Kontextpunkt bietet, um ein Entwicklerkonto kostenlos zu pflegen. Gleichzeitig kostet ein einzelner Pro-Benutzer (zum Zeitpunkt des Schreibens) ungefähr 35 $/Monat, etwa so viel wie eine typische Fitnessstudio-Mitgliedschaft. Anwendungssicherheit ist von entscheidender Bedeutung, und StackHawk macht sie für nahezu jeden zugänglich. Bewertung gesammelt von und auf G2.com gehostet.
Es gibt nichts Spezielles, das man nicht mögen könnte, obwohl ich gerne mehr Echtzeit-Visualisierungsanalysen hätte, die für den mobilen Zugriff formatiert sind. Bewertung gesammelt von und auf G2.com gehostet.
Stackhawk leistet hervorragende Arbeit, indem es die Konfiguration und das Ausführen des Scans so einfach wie möglich macht, indem alles in einen Docker-Container verpackt wird, der sowohl lokal von Entwicklern als auch auf CI ausgeführt werden kann. Bewertung gesammelt von und auf G2.com gehostet.
Wir mussten ein wenig Aufwand betreiben, um es mit OAuth-Authentifizierung zum Laufen zu bringen, aber es ist viel weniger Arbeit und unkomplizierter als alles andere, was wir versucht haben. Bewertung gesammelt von und auf G2.com gehostet.
