Prós e Contras de StackHawk

A faixa de preço é ótima, adequada para o tamanho da organização. Análise coletada por e hospedada no G2.com.

Eu não acho que haja qualquer grande desvantagem. Análise coletada por e hospedada no G2.com.

Minha equipe começou a usar o Stackhawk há alguns meses para apenas uma aplicação que suporta um produto de site. Ele nos fornece riscos de segurança potencialmente negligenciados e nos permite dados de verificação adicionais de que os riscos/problemas são mitigados como esperamos.

1. Fácil. O Stackhawk fornece ferramentas que são incrivelmente fáceis de configurar. Eles oferecem uma documentação incrível para começar a usar o CLI. Eu também recomendo a interface web, pois a configuração é super direta.

2. Informativo. Os resultados das varreduras de segurança do Stackhawk são fantásticos. Os detalhes sobre os riscos/itens identificados são úteis, claros e bem visualizados. A ferramenta web também oferece utilitários (por exemplo, copiar como cURL) para tentar reproduzir falhas de teste específicas ou realizar diagnósticos adicionais.

3. Completo para APIs. Finalmente, as ferramentas de varredura de segurança são excepcionais para aplicações/sistemas baseados em API. Especialmente com uma arquitetura baseada em tipagem estrita como GraphQL, o Stackhawk pode realmente fornecer saídas de alto valor por um custo/esforço de configuração relativamente pequeno. Análise coletada por e hospedada no G2.com.

Eu não diria que desgosto de algo fornecido pela Stackhawk no momento. No entanto, no método relativamente contido que usamos a ferramenta, temos algumas recomendações disponíveis para consideração.

1. Organização por área de preocupação. Os itens de risco de saída estão bem etiquetados. No entanto, seria valioso fornecer etiquetas ou áreas antecipadamente que personalizem/modifiquem o tipo de varredura que é executada (por exemplo, direcionando riscos para cross-site scripting).

2. Varreduras específicas de tecnologia ou stack. Nossa aplicação é um site Ruby on Rails e a Stackhawk atualmente trata isso como um aplicativo web genérico. Isso não é um problema, mas à medida que a Stackhawk se expande, seria interessante aprofundar em testes de alto valor que são relevantes para a arquitetura atual de uma aplicação.

3. Questões de Segurança do Github. Por último, como usamos ações do Github para CI, seria incrível ver uma integração onde os riscos da Stackhawk são escritos diretamente nos itens de segurança do repositório. Tenho certeza de que isso já é possível hoje e é uma questão de tempo até que se torne embutido. Análise coletada por e hospedada no G2.com.

Can find the most common vulnerabilities in common web applications. Easy to use and nice UI. Análise coletada por e hospedada no G2.com.

It comes nowhere near close to a real pen-testing, and it doesn't find many vulnerabilities in GraphQL. Análise coletada por e hospedada no G2.com.

1. Percepções abrangentes - Dentro de uma hora após fazer a configuração inicial, tive sugestões acionáveis para problemas que provavelmente não teria descoberto de outra forma. Mais notavelmente, conseguiu identificar casos em que meu código se comportaria mal contra entradas hostis, apesar de o código parecer perfeitamente correto do ponto de vista lógico; o verdadeiro culpado provavelmente era uma mistura de versões de software e dependências de bibliotecas, mas essa percepção me permitiu desenvolver uma solução segura.

Também teve muitas outras sugestões, que foram muito bem-vindas, e me sinto muito mais confiante de que fiz o certo para meus usuários após implementar essas mudanças.

2. As percepções são fáceis de replicar - a solicitação e a resposta são detalhadas para cada chamada, para que você possa verificá-las por conta própria.

3. Um ponto final que vale a pena mencionar é que é fácil integrar com seu pipeline CI/CD na maioria dos sites populares de hospedagem de repositórios. É também altamente configurável - você pode decidir quanto tempo deseja que o scanner funcione no total e para cada regra individual que verifica também. Isso torna mais fácil de sustentar, pois você pode querer verificações mais leves se executá-lo com frequência. Análise coletada por e hospedada no G2.com.

A configuração não é a mais fácil em comparação com alguns concorrentes. Você precisa baixar uma imagem Docker e executar o scanner, ou integrá-lo ao seu pipeline CI/CD. No entanto, isso é um detalhe menor e eu estava em funcionamento em menos de 20 minutos. Análise coletada por e hospedada no G2.com.

A ferramenta StackHawk tem uma ótima documentação e é muito intuitiva de configurar para um desenvolvedor e para uma pessoa de DevOps. Com o StackHawk, podemos encontrar vulnerabilidades em um ambiente em execução em vez de um ambiente estático, o que significa que estamos cientes das ameaças à nossa aplicação em um ambiente ao vivo. O StackHawk possui muitas integrações de CICD e notificações, embora alguns canais de notificação populares, como o Discord, estejam ausentes, que são usados na maioria dos projetos pessoais. Análise coletada por e hospedada no G2.com.

StackHawk não possui o recurso para definir integrações opcionais para certas aplicações e ambientes. Todos os resultados de varredura de todas as aplicações e ambientes são enviados para todas as integrações que estão habilitadas. Na integração com o Datadog, o nível de risco geral não é enviado e é inconveniente configurar regras de análise personalizadas para calcular o nível de risco e alertar com base nisso. StackHawk requer uma imagem docker para executar testes em CICD, e nem todas as aplicações são conteinerizadas, tornando isso incompatível para aplicações não conteinerizadas. Um formato de relatório JUnit teria sido uma excelente adição à lista existente de formatos de relatório JSON e PDF. Análise coletada por e hospedada no G2.com.

Ele encontra rapidamente o bug e apoia nossa equipe corrigindo essa vulnerabilidade de segurança. Ele ajuda minha equipe com a verificação de API REST e GraphQL e documentações de correção simples também. É fácil de usar. Análise coletada por e hospedada no G2.com.

Até esta data, não encontrei nenhum problema com o StackHawk. Análise coletada por e hospedada no G2.com.

Stackhawk é uma ferramenta útil quando se trata de testes de segurança, bem como de operação. A ferramenta me ajuda a evitar bugs vulneráveis. A UI/UX do Stackhawk é de primeira linha e tem cores vibrantes. Análise coletada por e hospedada no G2.com.

Stackhawk não é ótimo quando se trata da configuração do software, pois requer uma imagem docker para rodar no pipeline CI/CD, o que o torna incompetente para aplicações não containerizadas, e sua equipe de suporte é a melhor. Análise coletada por e hospedada no G2.com.

Sem uma ordem específica:

Adoro a UI/UX deles. Apresenta os problemas de forma clara, onde posso facilmente entregá-los a programadores juniores para investigar e corrigir com nada mais do que um link para um problema ou uma varredura. Fornece boas explicações para os problemas que sinaliza, bem como links para artigos de blog sobre os problemas (às vezes específicos para lidar com isso em nosso framework particular). Também possui dados de solicitação detalhados, incluindo um comando cURL para reproduzir o problema, o corpo da resposta e destaca "evidências" que encontrou tentando provar que um problema não é um falso positivo.

Seus relatórios em PDF não são apenas uma versão impressa do painel, mas um design específico para PDF bem formatado e atraente, que é um bom entregável para clientes ou apenas para registrar nossos problemas de segurança em um determinado momento. Seu painel também é fácil de entender.

Gosto que, ao contrário de outros analisadores estáticos que escaneiam o código para avaliar vulnerabilidades potenciais, o StackHawk escaneia seu site para realmente tentar desencadear vulnerabilidades e produzir evidências. Através deste método, o StackHawk encontrou vulnerabilidades XSS e alertou sobre outros problemas potenciais que outras ferramentas não encontraram, e eram claramente reproduzíveis. Além disso, este método é mais inspirador de confiança e produziu muito menos falsos positivos do que a análise de código. Nossa empresa ainda usa análise de código estático, pois é rápida e barata (boa para integração contínua), mas agora consideramos o StackHawk a ferramenta definitiva para avaliação programática de vulnerabilidades de segurança.

Também gosto do modelo de preços deles. O nível gratuito é legitimamente útil, os upgrades de preços fazem sentido, e posso fazer tudo sozinho. Vários concorrentes oferecem produtos de varredura semelhantes, mas custam milhares de dólares por ano e exigem falar com um gerente de contas para configurar. Falei com alguns representantes de vendas de outros produtos, e como uma organização sem fins lucrativos buscando manter os custos baixos, dois representantes de vendas diferentes nunca retornaram sobre planos com desconto (e seus planos gratuitos eram apenas testes limitados). Um eu nunca realmente tentei porque o produto inteiro estava bloqueado por paywall, o que é bom para clientes maiores, presumo, mas inacessível para mim. Análise coletada por e hospedada no G2.com.

A única desvantagem do StackHawk até agora é o tempo que uma varredura leva. Enquanto a análise de código estático pode levar apenas minutos, ou até segundos quando se concentra nos arquivos de um conjunto de alterações específico, as varreduras do StackHawk levam horas para serem concluídas e exigem que aumentemos a capacidade do nosso servidor de teste ou dediquemos a máquina de um desenvolvedor para a varredura. O tempo de varredura lento é aceitável se estivermos focados na segurança para uma avaliação específica ou revisão trimestral, mas não podemos usá-lo como parte do nosso pipeline de integração contínua "pronto para uso". Eles têm documentação sobre como reduzir os tempos de varredura otimizando as rotas que analisa, paralelizando certas áreas do site, etc., mas teríamos que configurar uma boa quantidade de infraestrutura para fazer isso funcionar. Talvez façamos isso algum dia, mas certamente não é tão fácil quanto apenas conectar um analisador de código ao Github.

Além disso, uma vez que você resolve um problema com seu site, não consegui encontrar uma maneira de executar novamente apenas esse problema e atualizar o relatório de varredura porque não há (ou não parece haver) uma lista central de problemas. Em vez disso, você tem uma lista de varreduras, e embora as varreduras mostrem problemas previamente atribuídos/aceitos/ignorados como tal em novas varreduras, elas exibem as varreduras como ilhas próprias. Isso significa apenas que, para obter um relatório "limpo", temos que executar uma varredura completamente nova, o que leva tempo, a menos que também gastemos tempo otimizando nosso tempo de varredura. Até agora, eu apenas deixei rodar durante a noite, o que minimiza meu tempo gasto, mas re-verificar apenas um problema seria bom. Análise coletada por e hospedada no G2.com.

Muitas pessoas não estão familiarizadas com testes de segurança de aplicações, operações de segurança no desenvolvimento ou as ferramentas dinâmicas que podem ser usadas para testar e monitorar produtos. Eu adoro como o StackHawk permite um único ponto de contexto para manter uma conta de desenvolvedor gratuitamente. Ao mesmo tempo, um único usuário profissional custa (no momento em que escrevo isto) cerca de $35/mês, aproximadamente o mesmo que uma assinatura típica de academia. A segurança de aplicações é extremamente importante, e o StackHawk a torna acessível para quase todos. Análise coletada por e hospedada no G2.com.

Não há nada especificamente para não gostar, embora eu adoraria ter mais análises visuais em tempo real formatadas para acesso móvel. Análise coletada por e hospedada no G2.com.

Stackhawk faz um ótimo trabalho ao tornar a configuração e execução da varredura o mais fácil possível, encapsulando tudo em um contêiner Docker que pode ser executado localmente por desenvolvedores e em CI. Análise coletada por e hospedada no G2.com.

Tivemos que fazer um pequeno esforço para que funcionasse com autenticação OAuth, mas é muito menos trabalho e mais direto do que qualquer outra coisa que tentamos. Análise coletada por e hospedada no G2.com.