Snyk Bewertungen & Produktdetails

Was ich an Snyk am meisten schätze, ist die "Reachability"-Funktion. Das bedeutet, dass wenn eine anfällige oder ausnutzbare Bibliothek oder ein Paket im Code importiert, aber nicht tatsächlich aufgerufen oder verwendet wird, es als Fehlalarm identifiziert wird und keine Behebung erfordert. Diese Funktion ist jedoch nur im kostenpflichtigen Abonnement verfügbar, nicht in der kostenlosen Version. Sie reduziert erheblich die Zeit, die das VAPT-Team mit der Validierung von Problemen verbringt, und hilft auch dem DevOps-Team, Probleme effizienter zu lösen.

Ein weiterer Aspekt, den ich schätze, ist, wie schnell sich Snyk an neue CVEs anpasst. Wenn ein Zero-Day-Exploit auftaucht, aktualisiert Snyk seine CVE-Datenbank innerhalb von maximal 24 Stunden, um den Code sicher zu halten. Bewertung gesammelt von und auf G2.com gehostet.

Nach einigen Monaten, in denen das Projekt importiert, gescannt und getestet wurde, beginnt Snyk auch, falsch-positive Probleme zu melden. Bewertung gesammelt von und auf G2.com gehostet.

Snyks Produkt verfügt über eine äußerst intuitive Benutzeroberfläche, die es einfach macht, Schwachstellen zu identifizieren und zu beheben. Die Plattform ermöglicht es Ihnen, Entwickler in Organisationen zu organisieren, was hilfreich ist, um sicherzustellen, dass nur bestimmte Entwicklungsteams die Schwachstellen sehen können, die mit ihren eigenen Produkten zusammenhängen. Diese Struktur verbessert auch die Berichtsfunktionen. Die Integration mit GitHub Cloud ist relativ einfach; Sie können eine GitHub-App verwenden, um einzelne Repositories in Team-Organisationen aufzunehmen. Die Implementierung ist ebenfalls recht überschaubar, vorausgesetzt, Sie wissen, welche Teams für welche Repositories und die von ihnen unterstützten Produkte oder Dienstleistungen verantwortlich sind. Der Kundensupport ist online über das Portal zugänglich, was es einfach macht, ein Ticket einzureichen oder bei Bedarf einen Anruf zu vereinbaren. Snyk ist auch pro Organisation ziemlich anpassbar, sodass Sie entscheiden können, welche Einstellungen Sie pro Team/Produkt aktivieren möchten, sodass Sie sehr detailliert festlegen können, für welche Aktivitäten Pull-Requests erstellt werden. Feedback wird auch direkt in GitHub bereitgestellt, was für die Entwickler nützlich ist. Bewertung gesammelt von und auf G2.com gehostet.

Das DAST-Produkt befindet sich in einer separaten Benutzeroberfläche und ist nicht in das Snyk-Produkt selbst integriert. Ich glaube, das liegt daran, dass es sich um eine Akquisition handelt. Ebenso ist ihre Fähigkeit zur Geheimniserkennung nicht sehr gut und sie konzentrieren sich nicht auf die Codequalität, sodass Sie dafür ein anderes Produkt benötigen. Bewertung gesammelt von und auf G2.com gehostet.

Snyk verfügt über eine umfangreiche und aktuelle Schwachstellendatenbank, die bei der frühzeitigen Erkennung von Schwachstellen in Anwendungen hilft. Es ist sehr entwicklerfreundlich mit einfacher Integrationseinrichtung und ausführlichen Behebungshinweisen für erkannte Schwachstellen. Ich nutze es täglich in CI/CD-Pipelines. Bewertung gesammelt von und auf G2.com gehostet.

Manchmal werden falsche Positive angezeigt. Scans können bei einem mittelgroßen Repository einige Minuten dauern, was die Pipeline verlangsamen kann. Bewertung gesammelt von und auf G2.com gehostet.

Seine Scanfähigkeiten sind sehr gut. Zum Beispiel funktioniert es wirklich gut bei SAST-Scans und sogar bei SCA-Scans. Es ist auch hilfreich bei der Minderung von Schwachstellen, indem es die besten Lösungen bietet. Bewertung gesammelt von und auf G2.com gehostet.

Es sind die Kosten. Es ist sehr teuer. Abgesehen davon könnte die Benutzeroberfläche etwas besser sein. Bewertung gesammelt von und auf G2.com gehostet.

Kürzlich haben sie eine Funktion namens Deep Code AI eingeführt. Damit können wir das Problem für 1st-Party-Code auf IDE-Ebene beheben. Bewertung gesammelt von und auf G2.com gehostet.

Es hat keine On-Premise-Option, und wir können die SAST-Ergebnisse auch nicht über die CLI an das Dashboard übermitteln. Bewertung gesammelt von und auf G2.com gehostet.

Integrieren Sie sich mit den meisten großen Code-Repositories, aber die Integration ist nicht erstaunlich. Bewertung gesammelt von und auf G2.com gehostet.

Der Kundensupport reagiert langsam, ist in der Regel nicht hilfreich und hat letztendlich an einen Entwickler eskaliert. Zu diesem Zeitpunkt haben wir den Kontakt verloren und keine Lösung für einen klaren Fehler erhalten, der uns daran hindert, das Produkt zu nutzen.

Ein weiterer wirklich wichtiger Punkt in Bezug auf SBOM: Das CLI liefert nicht alle Informationen, die man von der Benutzeroberfläche erhält. Die vorgeschlagene Lösung war, ein anderes Tool zu verwenden, um Daten zu extrahieren. Ich bin mir nicht sicher, warum wir für ein Produkt bezahlen, wenn wir externe, Drittanbieter-Tools verwenden müssen, um die Informationen zu erhalten, die wir benötigen. Bewertung gesammelt von und auf G2.com gehostet.

Integration mit sowohl Bitbucket als auch Github, Richtlinie als Code, Bewertung gesammelt von und auf G2.com gehostet.

Zu viele unnötige Fehlalarme, Richtlinienüberschreibungen, schwer und komplex zu verwalten und zu verfolgen Alarme. Bewertung gesammelt von und auf G2.com gehostet.

Ich denke, es ist so einfach zu benutzen. Ich mag, dass es Lösungen für die Probleme enthält, die ich habe, es kann schnell einen Codebestand scannen und wird ihn ständig scannen. Wir hatten keine Probleme, es in unseren Codebestand zu integrieren. Bewertung gesammelt von und auf G2.com gehostet.

Die Lösungen überschneiden sich manchmal und fallen nicht zusammen. Ein weiteres Problem könnte ich sagen, wäre die Preisgestaltung. Bewertung gesammelt von und auf G2.com gehostet.

Großartige Integration mit Versionskontrollwerkzeugen wie Github und Bitbucket Bewertung gesammelt von und auf G2.com gehostet.

Anfangs war die Nutzung von Snyk etwas verwirrend, aber seitdem haben sie die gesamte Benutzererfahrung und die Funktionen verbessert. Bewertung gesammelt von und auf G2.com gehostet.

-Einfache Integration für GitHub verfügbar

-Die Rate der falsch-positiven Schwachstellen ist etwas besser als bei anderen Tools

-Kann leicht in CI/CD-Pipeline integriert werden.

-Automatische Code-Überprüfung und Berichtserstellung verfügbar

-Funktioniert mit fast allen Sprachen

-Sehr einfach zu verwenden Bewertung gesammelt von und auf G2.com gehostet.

-Manchmal sind gemeldete Schwachstellen Fehlalarme und es werden auch selten einige der echten Schwachstellen übersehen. Bewertung gesammelt von und auf G2.com gehostet.