Snyk Reseñas y Detalles del Producto

Me gusta que Snyk ejecute fácilmente escaneos e incluso proporcione las versiones en las que se corrigen las vulnerabilidades. Esta característica es valiosa porque me ayuda a identificar riesgos de seguridad o malas implementaciones en los cambios de mi código sin tener que probar y actualizar mi código y dependencias manualmente. También aprecio el proceso de configuración fácil; la extensión para Snyk está disponible en Visual Studio Code, y después de descargarla, solo necesitaba registrarme y autenticar mi proyecto. Reseña recopilada por y alojada en G2.com.

He visto que Snyk no maneja tan bien las vulnerabilidades relacionadas con las licencias. Reseña recopilada por y alojada en G2.com.

Snyk es fácil de configurar y comenzar a usar. Configurarlo para que se ejecute como una Acción de GitHub permite que se integre sin problemas junto con otros procesos de CI existentes. Además de esto, me gusta que su escaneo de vulnerabilidades sea prácticamente universalmente confiable entre los ingenieros, esta confianza permite tranquilidad. Reseña recopilada por y alojada en G2.com.

Esto podría haber cambiado desde la última vez que trabajé con este producto, pero en ese momento Snyk era un poco caro en comparación con productos similares. Reseña recopilada por y alojada en G2.com.

Lo que más aprecio de Snyk es su función de "Alcance". Esto significa que si una biblioteca o paquete vulnerable o explotable se importa en el código pero no se llama ni se utiliza realmente, se identifica como un falso positivo y no requiere remediación. Sin embargo, esta función solo está disponible en la suscripción de pago, no en la versión gratuita. Reduce significativamente el tiempo que el equipo de VAPT dedica a validar problemas y también ayuda al equipo de DevOps a abordar problemas de manera más eficiente.

Otro aspecto que valoro es la rapidez con la que Snyk se adapta a nuevos CVE. Si aparece un exploit de día cero, Snyk actualiza su base de datos de CVE en un máximo de 24 horas, ayudando a mantener el código seguro. Reseña recopilada por y alojada en G2.com.

Después de algunos meses de importar, escanear y probar el proyecto, Snyk también comienza a proporcionar problemas de falsos positivos. Reseña recopilada por y alojada en G2.com.

Las características del producto de Snyk incluyen una interfaz gráfica de usuario altamente intuitiva, lo que facilita la identificación y solución de vulnerabilidades. La plataforma te permite organizar a los desarrolladores en Organizaciones, lo cual es útil para asegurar que solo equipos de desarrollo específicos puedan ver las vulnerabilidades relacionadas con sus propios productos. Esta estructura también mejora las capacidades de generación de informes. La integración con GitHub Cloud es relativamente sencilla; puedes usar una aplicación de GitHub para incorporar repositorios individuales a las organizaciones de equipo. La implementación también es bastante manejable, siempre que sepas qué equipos son responsables de qué repositorios y los productos o servicios que apoyan. El soporte al cliente es accesible en línea a través del portal, lo que facilita enviar un ticket o programar una llamada cuando sea necesario. Snyk también es bastante personalizable por organización, permitiéndote decidir qué configuraciones deseas habilitar por equipo/producto, de modo que puedes ser bastante específico en términos de qué PRs se generan para qué actividades. También se proporciona retroalimentación en GitHub mismo, lo cual es útil para los desarrolladores. Reseña recopilada por y alojada en G2.com.

Su producto DAST está en una interfaz separada y no está integrado en el producto Snyk en sí, creo que esto se debió a que fue una adquisición. Igualmente, su capacidad de detección de secretos no es muy buena y no se centran en la calidad del código, por lo que necesitarás un producto diferente para eso. Reseña recopilada por y alojada en G2.com.

Snyk tiene una base de datos de vulnerabilidades extensa y actualizada que ayuda a la detección temprana de vulnerabilidades en aplicaciones. Es muy amigable para los desarrolladores con una configuración de integración fácil y consejos de remediación descriptivos para las vulnerabilidades detectadas. Lo uso diariamente en la ejecución de pipelines CI/CD. Reseña recopilada por y alojada en G2.com.

A veces marca falsos positivos. Los escaneos pueden tardar unos minutos para un repositorio de tamaño medio, lo que puede ralentizar la canalización. Reseña recopilada por y alojada en G2.com.

Interfaz de usuario, categorización, profundidad en la revisión Reseña recopilada por y alojada en G2.com.

demasiados falsos positivos, a veces demasiados detalles lo hacen complejo de analizar Reseña recopilada por y alojada en G2.com.

Sus capacidades de escaneo son muy buenas. Por ejemplo, realmente funciona bien en escaneos SAST e incluso en escaneos SCA. También es útil para mitigar vulnerabilidades al proporcionar las mejores soluciones. Reseña recopilada por y alojada en G2.com.

Es el costo. Es muy caro. Aparte de eso, la interfaz de usuario podría ser un poco mejor. Reseña recopilada por y alojada en G2.com.

Recientemente, han introducido una función llamada Deep Code AI, con la que podemos solucionar el problema del código de primera parte a nivel de IDE. Reseña recopilada por y alojada en G2.com.

No tiene On-prem, y tampoco podemos enviar los resultados de SAST al panel desde la CLI. Reseña recopilada por y alojada en G2.com.

Integrarse con la mayoría de los principales repositorios de código, pero la integración no es increíble. Reseña recopilada por y alojada en G2.com.

El soporte al cliente es lento para responder, generalmente no es útil y terminó escalando a un desarrollador, fue entonces cuando perdimos todo contacto y no obtuvimos una solución a un error claro que nos impide usar el producto.

Otra nota realmente importante sobre SBOM, la CLI no proporciona toda la información que se obtiene de la interfaz de usuario, la solución proporcionada fue usar otra herramienta para extraer datos. No estoy seguro de por qué pagamos por un producto si necesitamos usar herramientas externas de terceros para obtener la información que necesitamos. Reseña recopilada por y alojada en G2.com.

Integración con Bitbucket y Github, política como código, Reseña recopilada por y alojada en G2.com.

Demasiados falsos positivos innecesarios, anulaciones de políticas, difíciles y complejos de gestionar y rastrear alertas. Reseña recopilada por y alojada en G2.com.