Avaliações e Detalhes do Produto Snyk

Gosto que o Snyk execute facilmente as verificações e até forneça as versões nas quais as vulnerabilidades são corrigidas. Este recurso é valioso porque me ajuda a identificar riscos de segurança ou implementações ruins nas minhas alterações de código sem precisar testar e atualizar meu código e dependências manualmente. Também aprecio o processo de configuração fácil; a extensão para o Snyk está disponível no Visual Studio Code, e após baixá-la, só precisei me inscrever e autenticar meu projeto. Análise coletada por e hospedada no G2.com.

Eu vi que o Snyk não lida tão bem com as vulnerabilidades relacionadas a licenciamento. Análise coletada por e hospedada no G2.com.

Snyk é fácil de configurar e começar a usar. Configurá-lo para rodar como uma Ação do GitHub permite que ele se integre perfeitamente junto a outros processos de CI existentes. Além disso, gosto que sua varredura de vulnerabilidades é praticamente universalmente confiável entre os engenheiros, essa confiança proporciona tranquilidade. Análise coletada por e hospedada no G2.com.

Isso pode ter mudado desde a última vez que trabalhei com este produto, mas na época o Snyk era um pouco caro em comparação com produtos similares. Análise coletada por e hospedada no G2.com.

O que mais aprecio no Snyk é sua funcionalidade de "Alcance". Isso significa que, se uma biblioteca ou pacote vulnerável ou explorável é importado no código, mas não é realmente chamado ou usado, ele é identificado como um falso positivo e não requer remediação. No entanto, essa funcionalidade está disponível apenas na assinatura paga, não na versão gratuita. Isso reduz significativamente o tempo que a equipe de VAPT gasta validando problemas e também ajuda a equipe de DevOps a resolver problemas de forma mais eficiente.

Outro aspecto que valorizo é a rapidez com que o Snyk se adapta a novos CVEs. Se uma exploração de dia zero aparecer, o Snyk atualiza seu banco de dados de CVE em no máximo 24 horas, ajudando a manter o código seguro. Análise coletada por e hospedada no G2.com.

Após alguns meses de projeto sendo importado, escaneado e testado, o Snyk começa a fornecer problemas de falsos positivos também. Análise coletada por e hospedada no G2.com.

Os recursos do produto da Snyk apresentam uma interface gráfica altamente intuitiva, tornando simples identificar e resolver vulnerabilidades. A plataforma permite que você organize desenvolvedores em Organizações, o que é útil para garantir que apenas equipes de desenvolvimento específicas possam visualizar as vulnerabilidades relacionadas aos seus próprios produtos. Essa estrutura também melhora as capacidades de relatórios. A integração com o GitHub Cloud é relativamente simples; você pode usar um aplicativo do GitHub para integrar repositórios individuais às organizações de equipe. A implementação também é bastante gerenciável, desde que você saiba quais equipes são responsáveis por quais repositórios e os produtos ou serviços que eles suportam. O suporte ao cliente é acessível online através do portal, facilitando a submissão de um ticket ou o agendamento de uma chamada quando necessário. A Snyk também é bastante personalizável por organização, permitindo que você decida quais configurações deseja habilitar por equipe/produto, para que você possa ser bastante detalhista em termos de quais PRs são levantados para quais atividades. O feedback também é fornecido no próprio GitHub, o que é útil para os desenvolvedores. Análise coletada por e hospedada no G2.com.

O produto DAST está em uma interface separada e não integrado ao próprio produto Snyk, acredito que isso se deve a uma aquisição. Da mesma forma, a capacidade de detecção de segredos deles não é muito boa e eles não se concentram na qualidade do código, então você precisará de um produto diferente para isso. Análise coletada por e hospedada no G2.com.

A Snyk possui um banco de dados de vulnerabilidades extenso e atualizado, que ajuda na detecção precoce de vulnerabilidades em aplicações. É muito amigável para desenvolvedores, com configuração de integração fácil e conselhos de remediação descritivos para as vulnerabilidades detectadas. Eu o uso diariamente em pipelines de CI/CD. Análise coletada por e hospedada no G2.com.

Às vezes, ele sinaliza falsos positivos. As verificações podem levar alguns minutos para um repositório de tamanho médio, o que pode desacelerar o pipeline. Análise coletada por e hospedada no G2.com.

Interface do usuário, categorização, profundidade na revisão Análise coletada por e hospedada no G2.com.

muitos falsos positivos, às vezes muitos detalhes tornam complexo analisá-los Análise coletada por e hospedada no G2.com.

Suas capacidades de varredura são muito boas. Por exemplo, ele realmente se sai bem em varreduras SAST e até mesmo em varreduras SCA. Também é útil na mitigação de vulnerabilidades, fornecendo as melhores soluções. Análise coletada por e hospedada no G2.com.

É o custo. É muito caro. Além disso, a interface do usuário poderia ser um pouco melhor. Análise coletada por e hospedada no G2.com.

Recentemente, eles lançaram um recurso chamado Deep Code AI, usando isso podemos corrigir o problema para o código de primeira parte no nível do IDE. Análise coletada por e hospedada no G2.com.

Não tem On-prem, e também não podemos enviar os resultados do SAST para o Dashboard a partir do CLI. Análise coletada por e hospedada no G2.com.

Integre-se com a maioria dos principais repositórios de código, mas a integração não é incrível. Análise coletada por e hospedada no G2.com.

O suporte ao cliente é lento para responder, geralmente não é útil e acabou escalando para um desenvolvedor, foi quando perdemos todo o contato e não obtivemos uma solução para um bug claro que nos impede de usar o produto. Outra nota realmente importante sobre SBOM, a CLI não fornece todas as informações que você obtém da interface do usuário, a solução fornecida foi usar outra ferramenta para extrair dados. Não sei por que pagamos por um produto se precisamos usar ferramentas externas de terceiros para obter as informações de que precisamos. Análise coletada por e hospedada no G2.com.

Integração com Bitbucket e Github, política como código, Análise coletada por e hospedada no G2.com.

Muito excesso de falsos positivos desnecessários, substituições de políticas, difícil e complexo de gerenciar e rastrear alertas. Análise coletada por e hospedada no G2.com.