Avis et détails du produit Aikido Security

C'est comme avoir un ingénieur senior calme assis à côté de moi pendant les revues de code. Au lieu de crier sur chaque problème possible, Aikido se concentre sur les choses qui comptent vraiment. Le faible bruit est un atout majeur pour nous, car une fois qu'un outil commence à crier au loup, les ingénieurs cessent d'écouter. J'aime aussi beaucoup le fait que nous puissions encoder nos propres normes et connaissances du domaine sous forme de règles personnalisées. Avec le temps, cela commence à ressembler moins à un outil générique et plus à quelque chose qui comprend comment notre équipe pense et écrit du code. Avis collecté par et hébergé sur G2.com.

Si je devais chipoter, la valeur de certaines fonctionnalités avancées comme les règles personnalisées n'est pas immédiatement évidente. Elle se révèle vraiment après un certain temps d'utilisation, mais le moment initial de "déclic" pourrait arriver un peu plus rapidement. Avis collecté par et hébergé sur G2.com.

Aikido Security a été une plateforme remarquable pour nous grâce à sa simplicité, sa rapidité et sa précision. L'expérience d'intégration a été incroyablement fluide, et la plateforme nous a immédiatement fourni des informations claires et exploitables sans le bruit habituel que l'on obtient avec les outils SAST traditionnels.

Leur support client est exceptionnel — réactif, compétent et véritablement investi dans l'amélioration de notre posture de sécurité. L'interface utilisateur est propre et intuitive, ce qui permet aux ingénieurs et au personnel de sécurité d'identifier, de prioriser et de résoudre rapidement les problèmes.

Ce que nous apprécions le plus, c'est qu'Aikido adopte une approche moderne et conviviale pour les développeurs en matière de sécurité. Il s'intègre sans effort dans nos flux de travail et nous donne la confiance que notre code est continuellement surveillé avec un minimum de friction. Avis collecté par et hébergé sur G2.com.

Il y a très peu de choses à ne pas aimer, mais si nous devions en mentionner une, nous aimerions voir des intégrations encore plus profondes avec certains des autres outils de notre pile de sécurité à mesure que la plateforme continue de croître. Quelques options de configuration avancées pourraient également être élargies pour offrir plus de flexibilité pour des environnements plus grands ou plus complexes.

Cela dit, l'équipe d'Aikido itère incroyablement rapidement, et les limitations que nous avons rencontrées ont souvent déjà été résolues lorsque nous les revisitons. Avis collecté par et hébergé sur G2.com.

Les capacités d'auto-triage et de réduction du bruit sont exceptionnelles. La plateforme filtre efficacement les faux positifs grâce à l'analyse de la portée, permettant de se concentrer sur les vulnérabilités réelles. La couverture unifiée du code au cloud (SAST, SCA, IaC, secrets, analyse de conteneurs) sur une seule plateforme élimine la prolifération des outils. L'intégration avec les flux de travail existants et la configuration rapide sont également des points forts. Avis collecté par et hébergé sur G2.com.

La plateforme manque de capacités d'évaluation et de reporting de sécurité complètes pour les équipes d'ingénierie de la sécurité. Bien qu'elle excelle dans la gestion des vulnérabilités pour DevOps, elle ne fournit pas d'évaluations approfondies de la posture de sécurité, de quantification des risques, ni de rapports techniques personnalisables nécessaires pour les évaluations de sécurité et la préparation des audits. Le reporting actuel est axé sur les développeurs plutôt que sur les analystes de sécurité. Avis collecté par et hébergé sur G2.com.

La facilité d'installation et l'expérience utilisateur globale ont une barrière d'entrée étonnamment basse, mais en tant qu'ingénieur SRE/infra expérimenté, je peux toujours trouver mon chemin vers des options plus avancées.

J'ai utilisé de nombreux systèmes similaires, tels que Snik, Detectify et la plateforme de sécurité cloud de Datadog, avec des degrés de succès variés, et Aikido atteint un juste milieu très agréable entre une courbe d'apprentissage faible et la configurabilité. Avis collecté par et hébergé sur G2.com.

Certaines options que j'aimerais utiliser sont actuellement restreintes par le coût en raison de la taille de l'équipe, mais je suis autrement satisfait du rapport qualité-prix. Avis collecté par et hébergé sur G2.com.

Chez HotDoc, nous avons intégré Aikido pour améliorer nos pratiques de développement sécurisé, et il a rapidement prouvé sa valeur. La plateforme est très conviviale pour les développeurs, offrant une expérience d'intégration fluide, des analyses rapides et des résultats à la fois clairs et exploitables, le tout sans submerger nos équipes avec du bruit inutile. Contrairement à de nombreux outils SAST traditionnels, Aikido semble léger mais reste efficace, fournissant les bonnes balises pour soutenir nos développeurs sans causer de retards. Il nous permet de maintenir la sécurité à un rythme qui s'aligne avec le développement logiciel moderne. Je recommande vivement Aikido aux équipes de sécurité qui privilégient une philosophie de sécurité par conception. Avis collecté par et hébergé sur G2.com.

Ce ne sont pas des inconvénients majeurs, car Aikido est un outil plus récent et en pleine évolution, mais il y a des domaines où la plateforme est moins mature. Sa couverture en matière de sécurité du cloud et de l'infrastructure n'est pas encore aussi complète que son analyse du code applicatif. Bien que les intégrations avec des plateformes centrales comme Github, Slack et Jira soient solides, le support pour des écosystèmes plus larges est encore limité - bien que cela devrait s'étendre avec le temps. Avis collecté par et hébergé sur G2.com.

Tout d'abord, je rédige rarement des avis, mais Aikido mérite absolument des éloges.

Cet outil a été vraiment fiable pour le pipeline de sécurité du code de MoveInSync. Il est clair qu'une grande réflexion, un effort et de l'amour ont été investis dans la création d'un produit qui trouve véritablement des problèmes de sécurité fiables avec des instructions claires pour résoudre les problèmes, rendant la mentalité de "shift left" transparente.

Ce que j'aime le plus chez Aikido, c'est sa simplicité et sa capacité à filtrer les faux positifs, où vous n'avez pas à passer par des obstacles de résultats non pertinents.

Il s'intègre parfaitement dans notre pipeline DevSecOps.

L'interface utilisateur est intuitive, la performance est ultra-rapide, et l'équipe de support sur Slack ? Absolument de premier ordre. Ils répondent rapidement, écoutent activement les retours et publient constamment des améliorations réfléchies.

Avoir tout-en-un : SAST, SCA, Scanning de secrets, DAST (encore en phase initiale), CSPM, et un outil de surveillance des actifs API dans un seul outil est vraiment utile et maintenant je ne peux pas imaginer travailler sans.

C'est exactement le genre d'outil innovant qui me rappelle pourquoi j'aime la technologie en premier lieu.

Je recommande vivement. Avis collecté par et hébergé sur G2.com.

Aikido fournit un scanner CLI local, que nous préférons pour notre flux de travail DevSecOps, mais l'expérience a été maladroite pour le développement basé sur les branches. Nous devons exécuter des analyses localement et définir manuellement la branche à chaque fois. Dans notre utilisation, le CLI traitait chaque analyse de branche comme un « dépôt » séparé, ce qui consomme rapidement le quota de dépôts sur notre plan (par exemple, 200 dépôts), alors que le scanner connecté au cloud nous permet de changer de branche sur le même dépôt et de relancer sans consommer de slots de dépôt supplémentaires.

Pour les équipes avec beaucoup de branches de courte durée, ce comportement de comptage de dépôts rend l'option locale un peu difficile à adopter.

De plus, les annotations de PR sont uniquement disponibles sur le cloud. Les commentaires/vérifications en ligne des PR fonctionnent via le service intégré au cloud (par exemple, GitHub/GitLab/Bitbucket). Les analyses CLI locales ne publient pas d'annotations de PR. Avis collecté par et hébergé sur G2.com.

Nous sommes venus à Aikido après une expérience frustrante avec une autre plateforme SAST populaire. Aikido a été incroyablement facile à prendre en main et est rapidement devenu une partie intégrante de notre processus de sécurité et de conformité. Une heure après notre inscription, j'étais certain que c'était la bonne plateforme pour nous. L'équipe a été incroyablement réactive à nos besoins, et nous n'avons pas encore rencontré de problèmes majeurs. Les rapports sont simples et faciles à comprendre, et nous obtenons des informations claires et exploitables à partir des analyses. Le flux de travail dans Aikido est assez simple, donc tout le monde dans notre équipe a pu s'y plonger facilement. Je recommande vivement de les consulter si vous voulez une plateforme solide pour gérer la sécurité de vos applications. Avis collecté par et hébergé sur G2.com.

Chaque problème est attribué à un niveau de gravité. Certains problèmes manquent de contexte pour justifier leur niveau de gravité, mais même dans ces cas, nous pouvons facilement modifier le niveau et laisser des justifications si nécessaire pour notre processus de conformité. Avis collecté par et hébergé sur G2.com.

La combinaison de SAST/DAST/CSPM/SBOM/RASP (et d'autres capacités) est incroyablement utile. La vérification de sécurité tout-en-un et la validation de configuration peuvent sembler mythiques et impossibles, mais ce n'est manifestement pas le cas. C'est juste que personne ne le faisait bien. Avis collecté par et hébergé sur G2.com.

Pour une jeune entreprise, on peut pardonner le fait qu'il n'y ait pas encore autant de capacités d'entreprise sur la plateforme, mais c'est certainement quelque chose dont ils sont conscients et sur lequel ils travaillent, comme en témoigne la possibilité d'inscrire l'ensemble de l'organisation AWS au lieu de devoir inscrire chaque compte locataire séparément pour la gestion de la posture de sécurité du cloud. Avis collecté par et hébergé sur G2.com.

Au cours des 9 mois où nous avons utilisé Aikido, nous avons été très impressionnés par l'offre. Ils disposent d'un nombre important d'outils disponibles (SAST, SCA, analyse de la surface d'attaque, etc.) et ils ajoutent quelque chose de nouveau tous les mois ou deux qui me fait dire "oh, c'est sympa". L'interface utilisateur demande un peu d'apprentissage, mais elle est finalement utilisable.

Les analyses elles-mêmes sont rapides et n'affectent pas la performance de nos systèmes de manière perceptible. Elles s'exécutent automatiquement une fois par jour et mettent à jour la liste des problèmes connus. Cela ne fait rien que les grands concurrents (Tenable, Qualys, etc.) ne font pas, mais une grande différence réside dans le prix. C'est une fraction du prix que demandent ces autres produits, et les limites des plans payants sont très raisonnables (nous n'avons dû augmenter une limite qu'une seule fois, et cela a coûté quelques euros de plus par mois).

Les produits ne permettent pas autant de personnalisation que, par exemple, Tenable, mais en contrepartie, la configuration a été extrêmement facile ; configurez vos intégrations (Gitlab, Github, AWS, etc.) avec des jetons standards, attendez quelques minutes et tout commence à se remplir avec vos projets.

Nous avons dû contacter le support produit à quelques reprises, et à chaque fois ils ont été très rapides, amicaux et serviables. Avis collecté par et hébergé sur G2.com.

Il n'y a pas de problèmes majeurs avec l'Aikido, mais il y a quelques points que je pense qu'Aikido pourrait faire différemment, à savoir :

- L'interface utilisateur et les analyses elles-mêmes ne sont pas très configurables. Ne vous attendez pas à un système qui vous permet de modifier chaque détail mineur de chaque analyse mineure.

- Les résultats sont divisés en plusieurs catégories (VMs, Code, Cloud Scanner). Vous ne pouvez pas regrouper les éléments pour obtenir une vue d'ensemble facile. Par exemple, si vous voulez regrouper le code d'un dépôt spécifique, le sBOM du code construit et l'analyse de la VM sur laquelle le code s'exécute, vous ne pouvez pas. Vous devez naviguer d'avant en arrière pour faire correspondre les résultats de différentes catégories.

- L'interface utilisateur pourrait bénéficier d'un peu d'attention pour améliorer l'expérience utilisateur. Par exemple, nous avons eu des problèmes où nous ne pouvions pas supprimer un ancien actif que nous avions utilisé à des fins de test. Avis collecté par et hébergé sur G2.com.

Je pense que c'est un excellent outil, surtout pour les petites entreprises, car il combine la capacité non seulement d'effectuer des tests de pénétration, mais aussi d'auditer les dépendances open source js et PHP pour d'éventuels problèmes de sécurité connus, et de savoir quand les mettre à jour, ainsi que d'effectuer des analyses SAST avec des corrections suggérées. De nombreux outils ne font que des tests de pénétration ou effectuent une analyse SAST, ainsi qu'une analyse des dépendances open source. Avis collecté par et hébergé sur G2.com.

Mes tests du pare-feu Zen étaient un peu bogués. Il semblerait qu'il y ait un certain délai entre les modifications apportées au code et ce qui apparaissait dans l'interface Aikido. Avis collecté par et hébergé sur G2.com.