Lo que más aprecio de Snyk es su función de "Alcance". Esto significa que si una biblioteca o paquete vulnerable o explotable se importa en el código pero no se llama ni se utiliza realmente, se identifica como un falso positivo y no requiere remediación. Sin embargo, esta función solo está disponible en la suscripción de pago, no en la versión gratuita. Reduce significativamente el tiempo que el equipo de VAPT dedica a validar problemas y también ayuda al equipo de DevOps a abordar problemas de manera más eficiente. Otro aspecto que valoro es la rapidez con la que Snyk se adapta a nuevos CVE. Si aparece un exploit de día cero, Snyk actualiza su base de datos de CVE en un máximo de 24 horas, ayudando a mantener el código seguro.

Las características del producto de Snyk incluyen una interfaz gráfica de usuario altamente intuitiva, lo que facilita la identificación y solución de vulnerabilidades. La plataforma te permite organizar a los desarrolladores en Organizaciones, lo cual es útil para asegurar que solo equipos de desarrollo específicos puedan ver las vulnerabilidades relacionadas con sus propios productos. Esta estructura también mejora las capacidades de generación de informes. La integración con GitHub Cloud es relativamente sencilla; puedes usar una aplicación de GitHub para incorporar repositorios individuales a las organizaciones de equipo. La implementación también es bastante manejable, siempre que sepas qué equipos son responsables de qué repositorios y los productos o servicios que apoyan. El soporte al cliente es accesible en línea a través del portal, lo que facilita enviar un ticket o programar una llamada cuando sea necesario. Snyk también es bastante personalizable por organización, permitiéndote decidir qué configuraciones deseas habilitar por equipo/producto, de modo que puedes ser bastante específico en términos de qué PRs se generan para qué actividades. También se proporciona retroalimentación en GitHub mismo, lo cual es útil para los desarrolladores.

Sus capacidades de escaneo son muy buenas. Por ejemplo, realmente funciona bien en escaneos SAST e incluso en escaneos SCA. También es útil para mitigar vulnerabilidades al proporcionar las mejores soluciones.