Was ich an Snyk am meisten schätze, ist die "Reachability"-Funktion. Das bedeutet, dass wenn eine anfällige oder ausnutzbare Bibliothek oder ein Paket im Code importiert, aber nicht tatsächlich aufgerufen oder verwendet wird, es als Fehlalarm identifiziert wird und keine Behebung erfordert. Diese Funktion ist jedoch nur im kostenpflichtigen Abonnement verfügbar, nicht in der kostenlosen Version. Sie reduziert erheblich die Zeit, die das VAPT-Team mit der Validierung von Problemen verbringt, und hilft auch dem DevOps-Team, Probleme effizienter zu lösen. Ein weiterer Aspekt, den ich schätze, ist, wie schnell sich Snyk an neue CVEs anpasst. Wenn ein Zero-Day-Exploit auftaucht, aktualisiert Snyk seine CVE-Datenbank innerhalb von maximal 24 Stunden, um den Code sicher zu halten.

Snyks Produkt verfügt über eine äußerst intuitive Benutzeroberfläche, die es einfach macht, Schwachstellen zu identifizieren und zu beheben. Die Plattform ermöglicht es Ihnen, Entwickler in Organisationen zu organisieren, was hilfreich ist, um sicherzustellen, dass nur bestimmte Entwicklungsteams die Schwachstellen sehen können, die mit ihren eigenen Produkten zusammenhängen. Diese Struktur verbessert auch die Berichtsfunktionen. Die Integration mit GitHub Cloud ist relativ einfach; Sie können eine GitHub-App verwenden, um einzelne Repositories in Team-Organisationen aufzunehmen. Die Implementierung ist ebenfalls recht überschaubar, vorausgesetzt, Sie wissen, welche Teams für welche Repositories und die von ihnen unterstützten Produkte oder Dienstleistungen verantwortlich sind. Der Kundensupport ist online über das Portal zugänglich, was es einfach macht, ein Ticket einzureichen oder bei Bedarf einen Anruf zu vereinbaren. Snyk ist auch pro Organisation ziemlich anpassbar, sodass Sie entscheiden können, welche Einstellungen Sie pro Team/Produkt aktivieren möchten, sodass Sie sehr detailliert festlegen können, für welche Aktivitäten Pull-Requests erstellt werden. Feedback wird auch direkt in GitHub bereitgestellt, was für die Entwickler nützlich ist.

Seine Scanfähigkeiten sind sehr gut. Zum Beispiel funktioniert es wirklich gut bei SAST-Scans und sogar bei SCA-Scans. Es ist auch hilfreich bei der Minderung von Schwachstellen, indem es die besten Lösungen bietet.