StackHawk Reseñas y Detalles del Producto

StackHawk es un producto muy efectivo para la empresa. Nos ahorra dinero Y hace que nuestros procesos sean más eficientes. Reseña recopilada por y alojada en G2.com.

Nada. Me encanta StackHawk y lo que hace. Reseña recopilada por y alojada en G2.com.

El rango de precios es óptimo, adecuado para el tamaño de la organización. Reseña recopilada por y alojada en G2.com.

No creo que haya ninguna desventaja importante. Reseña recopilada por y alojada en G2.com.

Mi equipo comenzó a usar Stackhawk hace unos meses para una sola aplicación que respalda un producto de sitio web. Nos proporciona riesgos de seguridad potencialmente pasados por alto y nos permite datos de verificación adicionales para que los riesgos/problemas se mitiguen como esperamos.

1. Fácil. Stackhawk proporciona herramientas que son increíblemente fáciles de configurar. Ofrecen una documentación impresionante para comenzar a usar el CLI. También recomiendo la interfaz web ya que la configuración es muy sencilla.

2. Informativo. Los resultados de los escaneos de seguridad de Stackhawk son fantásticos. Los detalles sobre los riesgos/elementos identificados son útiles, claros y bien visualizados. La herramienta web también proporciona utilidades (por ejemplo, copiar como cURL) para intentar reproducir fallos específicos de prueba o realizar diagnósticos adicionales.

3. Exhaustivo para APIs. Finalmente, las herramientas de escaneo de seguridad son excepcionales para aplicaciones/sistemas basados en API. Especialmente con una arquitectura basada en tipado estricto como GraphQL, Stackhawk puede realmente proporcionar salidas de alto valor por un costo/esfuerzo de configuración relativamente pequeño. Reseña recopilada por y alojada en G2.com.

No diría que me desagrada nada proporcionado por Stackhawk en este momento. Sin embargo, en el método relativamente contenido que hemos utilizado la herramienta, tenemos algunas recomendaciones disponibles para consideración.

1. Organización por área de preocupación. Los elementos de riesgo de salida están bien etiquetados. Sin embargo, sería valioso proporcionar etiquetas o áreas de antemano que personalicen/modifiquen el tipo de escaneo que se ejecuta (es decir, apuntando a riesgos de cross-site scripting).

2. Escaneos específicos de tecnología o stack. Nuestra aplicación es un sitio web Ruby on Rails y Stackhawk actualmente lo trata como una aplicación web genérica. Esto no es un problema, pero a medida que Stackhawk se expande, sería interesante profundizar en pruebas de alto valor que sean relevantes para la arquitectura actual de una aplicación.

3. Problemas de seguridad de Github. Por último, dado que usamos acciones de Github para CI, sería genial ver una integración donde los riesgos de Stackhawk se escriban directamente en los elementos de seguridad del repositorio. Estoy seguro de que esto ya es posible hoy y es cuestión de tiempo antes de que se convierta en una función incorporada. Reseña recopilada por y alojada en G2.com.

Puede encontrar las vulnerabilidades más comunes en aplicaciones web comunes. Fácil de usar y con una interfaz agradable. Reseña recopilada por y alojada en G2.com.

No se acerca ni de lejos a una verdadera prueba de penetración, y no encuentra muchas vulnerabilidades en GraphQL. Reseña recopilada por y alojada en G2.com.

1. Perspectivas completas: Una hora después de realizar la configuración inicial, tenía sugerencias accionables para problemas que probablemente no habría descubierto de otra manera. Más notablemente, logró identificar casos en los que mi código se comportaría incorrectamente ante entradas hostiles, a pesar de que el código parecía perfectamente bien desde un punto de vista lógico; el verdadero culpable probablemente era una mezcla de versiones de software y dependencias de bibliotecas, pero esta perspectiva me permitió desarrollar una solución segura.

También tenía muchas otras sugerencias, que fueron muy bien recibidas, y me siento mucho más seguro de haber hecho lo correcto para mis usuarios después de implementar esos cambios.

2. Las perspectivas son fáciles de replicar: la solicitud y la respuesta son detalladas para cada llamada, por lo que puedes verificarlas tú mismo.

3. Un último punto a destacar es que es fácil de integrar con tu pipeline de CI/CD en la mayoría de los sitios de alojamiento de repositorios populares. También es altamente configurable: puedes decidir cuánto tiempo quieres que el escáner funcione en total y para cada regla individual que verifica también. Esto lo hace más fácil de mantener, ya que podrías querer verificaciones más ligeras si lo ejecutas con frecuencia. Reseña recopilada por y alojada en G2.com.

La configuración no es la más fácil en comparación con algunos competidores. Tienes que descargar una imagen de Docker y ejecutar el escáner, o integrarlo en tu canalización CI/CD. Sin embargo, esto es un pequeño detalle y estaba en funcionamiento en menos de 20 minutos. Reseña recopilada por y alojada en G2.com.

La herramienta StackHawk tiene una excelente documentación y es muy intuitiva de configurar tanto para un desarrollador como para una persona de DevOps. Con StackHawk, podemos encontrar vulnerabilidades en un entorno en ejecución en lugar de un entorno estático, lo que significa que somos conscientes de las amenazas a nuestra aplicación en un entorno en vivo. StackHawk tiene muchas integraciones de CICD y notificaciones, aunque faltan algunos canales de notificación populares como Discord, que se utilizan en la mayoría de los proyectos personales. Reseña recopilada por y alojada en G2.com.

StackHawk carece de la función para establecer integraciones opcionales para ciertas aplicaciones y entornos. Todos los resultados de escaneo de todas las aplicaciones y entornos se envían a todas las integraciones que están habilitadas. En la integración de Datadog, el nivel de riesgo general no se envía y es inconveniente configurar reglas de análisis personalizadas para calcular el nivel de riesgo y alertar en función de eso. StackHawk requiere una imagen de Docker para ejecutar pruebas en CICD, y no todas las aplicaciones están containerizadas, lo que hace que esto sea incompatible para aplicaciones no containerizadas. Un formato de informe JUnit habría sido una excelente adición a la lista existente de formatos de informe JSON y PDF. Reseña recopilada por y alojada en G2.com.

Rápidamente encuentra el error y apoya a nuestro equipo al solucionar esa vulnerabilidad de seguridad. Ayuda a mi equipo con el escaneo de API REST y GraphQL y con documentaciones de soluciones simples también. Es fácil de usar. Reseña recopilada por y alojada en G2.com.

Hasta la fecha, no he encontrado ningún problema con StackHawk. Reseña recopilada por y alojada en G2.com.

Stackhawk es una herramienta útil cuando se trata de pruebas de seguridad, así como de operación. La herramienta me ayuda a evitar errores vulnerables. La UI/UX de Stackhawk es de primera categoría y tiene colores vibrantes. Reseña recopilada por y alojada en G2.com.

Stackhawk no es excelente cuando se trata de la configuración del software, ya que requiere una imagen de Docker para ejecutarse en la canalización CI/CD, lo que lo hace incompetente para aplicaciones no contenedorizadas y su equipo de soporte es el mejor. Reseña recopilada por y alojada en G2.com.

Sin ningún orden en particular:

Me encanta su UI/UX. Presenta los problemas de manera clara, donde puedo fácilmente dárselos a programadores junior para que investiguen y solucionen con nada más que un enlace a un problema o un escaneo. Proporciona buenas explicaciones para los problemas que señala, así como enlaces a artículos de blog sobre los problemas (a veces específicos para tratarlos en nuestro marco particular). También tiene datos de solicitud detallados, incluyendo un comando cURL para reproducir el problema, el cuerpo de la respuesta, y resalta la "evidencia" que encontró intentando demostrar que un problema no es un falso positivo.

Sus informes en PDF no son solo una versión impresa del panel, sino un diseño específico para PDF bien formateado y atractivo que es un buen entregable para clientes o simplemente para registrar nuestros problemas de seguridad en un momento particular. Su panel también es fácil de entender.

Me gusta que, a diferencia de otros analizadores estáticos que escanean el código para evaluar vulnerabilidades potenciales, StackHawk escanea tu sitio para realmente intentar desencadenar vulnerabilidades y producir evidencia. A través de este método, StackHawk encontró vulnerabilidades XSS y advirtió sobre otros problemas potenciales que otras herramientas no encontraron, y eran claramente reproducibles. Además, este método inspira más confianza y ha producido muchos menos falsos positivos que el análisis de código. Nuestra empresa todavía utiliza el análisis de código estático, ya que es rápido y barato (bueno para la integración continua), pero ahora consideramos a StackHawk la herramienta definitiva para la evaluación programática de vulnerabilidades de seguridad.

También me gusta su modelo de precios. El nivel gratuito es legítimamente útil, las actualizaciones de precios tienen sentido, y puedo hacerlo todo yo mismo. Varios competidores ofrecen productos de escaneo similares pero cuestan miles de dólares al año y requieren hablar con un gerente de cuentas para configurarlo. Hablé con un par de representantes de ventas de otros productos, y como una organización sin fines de lucro que busca mantener los costos bajos, dos representantes de ventas diferentes nunca me respondieron sobre planes con descuento (y sus planes gratuitos eran solo pruebas limitadas). Uno nunca lo intenté realmente porque todo el producto estaba detrás de un muro de pago, lo cual está bien para clientes más grandes, supongo, pero inaccesible para mí. Reseña recopilada por y alojada en G2.com.

La única desventaja de StackHawk hasta ahora es el tiempo que tarda un escaneo. Mientras que el análisis de código estático puede tomar solo minutos, o incluso segundos cuando se enfoca en los archivos de un conjunto de cambios particular, los escaneos de StackHawk tardan horas en completarse y requieren que aumentemos la capacidad de nuestro servidor de pruebas o dediquemos la máquina de un desarrollador al escaneo. El tiempo de escaneo lento está bien si nos enfocamos en la seguridad para una evaluación particular o revisión trimestral, pero no podemos usarlo como parte de nuestro pipeline de integración continua "tal cual". Tienen documentación sobre cómo reducir los tiempos de escaneo optimizando las rutas que analiza, paralelizando ciertas áreas del sitio, etc., pero tendríamos que configurar una buena cantidad de infraestructura para que esto funcione. Tal vez lo hagamos algún día, pero ciertamente no es tan fácil como simplemente conectar un analizador de código a Github.

Además, una vez que resuelves un problema con tu sitio, no pude encontrar una manera de volver a ejecutar solo ese problema y actualizar el informe de escaneo porque no hay (o no parece haber) una lista central de problemas. En su lugar, tienes una lista de escaneos, y aunque los escaneos muestran problemas previamente asignados/aceptados/ignorados como tales en nuevos escaneos, muestra los escaneos como islas propias. Esto solo significa que para obtener un informe "limpio" tenemos que ejecutar un escaneo completamente nuevo, lo cual lleva tiempo, a menos que también dediquemos tiempo a optimizar nuestro tiempo de escaneo. Hasta ahora, simplemente lo he dejado correr durante la noche, lo que minimiza mi tiempo invertido, pero volver a verificar solo un problema sería agradable. Reseña recopilada por y alojada en G2.com.

Muchas personas no están familiarizadas con las pruebas de seguridad de aplicaciones, las operaciones de seguridad en el desarrollo o las herramientas dinámicas que se pueden utilizar para probar y monitorear productos. Me encanta cómo StackHawk permite un único punto de contexto para mantener una cuenta de desarrollador de forma gratuita. Al mismo tiempo, un solo usuario profesional cuesta (en el momento de escribir esto) aproximadamente $35/mes, alrededor de lo mismo que una membresía típica de gimnasio. La seguridad de las aplicaciones es críticamente importante, y StackHawk la hace accesible para casi todos. Reseña recopilada por y alojada en G2.com.

No hay nada específicamente que no me guste, aunque me encantaría tener más análisis visuales en tiempo real formateados para acceso móvil. Reseña recopilada por y alojada en G2.com.