Avis et détails du produit Checkmarx

Aide à automatiser une révision de sécurité d'une base de code. Facile à intégrer dans les dépôts existants. Belle interface utilisateur intuitive et bonnes descriptions des vulnérabilités avec des indices sur l'endroit dans le code et comment les corriger. Avis collecté par et hébergé sur G2.com.

Malheureusement, Checkmarx a signalé un grand nombre de faux positifs pour les projets basés sur Kotlin. Probablement que ce langage est mal pris en charge car il n'y avait pas de tels problèmes dans des langages plus populaires comme Java ou Javascript. Avis collecté par et hébergé sur G2.com.

Il est très convivial et il est très facile de se familiariser avec toutes les nombreuses fonctionnalités. Bien que je n'étais pas présent lors de la mise en œuvre, j'ai trouvé qu'il est relativement simple d'intégrer des fonctionnalités supplémentaires. Les outils de numérisation (IaC, SAST, SCA, API, etc.) sont tous excellents et nous fournissent tout le statut et la visibilité dont nous avons besoin. Si jamais nous avons des problèmes qui ne peuvent pas être résolus, l'équipe de support client de Checkmarx est toujours là pour nous aider. Avis collecté par et hébergé sur G2.com.

La disposition et l'affichage des tableaux de bord pourraient être améliorés. Avis collecté par et hébergé sur G2.com.

J'aime le concept de SAST-ification dans l'ensemble, il propose toutes les offres allant des analyses de code source à la SCA, au scan de licences et fait un excellent travail pour trouver les vulnérabilités. Il est facile à utiliser et visuellement facile à explorer pour les bugs. De même, il est très optimisé pour que nous puissions l'intégrer aux pipelines CI/CD. Avis collecté par et hébergé sur G2.com.

Le coût d'acquisition de tous les modules est assez élevé. Avis collecté par et hébergé sur G2.com.

Les implémentations de l'interface utilisateur sont vraiment bonnes (Matrices de flux de données) des suggestions sont fournies pour l'endroit le plus approprié pour corriger un ensemble de vulnérabilités. La plupart des intégrations fonctionnent sans problème. Avis collecté par et hébergé sur G2.com.

Le service d'assistance est parfois retardé

Certaines des conclusions ont tendance à être des faux positifs

Le temps de balayage est lent par rapport à d'autres outils.

Certaines des intégrations IDE ne fonctionnent pas comme prévu. Avis collecté par et hébergé sur G2.com.

L'intégration avec CI/CD est assez riche en fonctionnalités. Avis collecté par et hébergé sur G2.com.

Un grand nombre de faux positifs à moins que vous ne l'adaptiez soigneusement à chaque projet. Avis collecté par et hébergé sur G2.com.

L'outil Checkmarx analyse le code assez bien. Donne des résultats précis, une analyse approfondie peut être effectuée car Checkmarx fournit le flux de code depuis la source jusqu'à l'exécution des valeurs. Avis collecté par et hébergé sur G2.com.

Checkmarx signale souvent des faux positifs. Si c'est une grande base de code d'application, il est difficile de contrôler le nombre de faux positifs à analyser. Avis collecté par et hébergé sur G2.com.

Les fonctionnalités les plus précieuses sont l'interface facile à comprendre, et elle est très conviviale. Il analysera le code ligne par ligne et trouvera la plupart des vulnérabilités. Le rapport de vulnérabilité est génial. Avis collecté par et hébergé sur G2.com.

L'interface utilisateur doit être mise à jour. Réduire le faux positif. Veuillez mettre à niveau l'ensemble des règles pour éviter le faux positif. Avis collecté par et hébergé sur G2.com.

Checkmarx a une fonctionnalité Codebashing impressionnante qui a l'avantage sur SonarQube. La fonctionnalité de suivi-rapport de l'application est bonne aussi. J'aime la fonctionnalité "delta-scan" car elle est vraiment utile dans les cas où des analyses très fréquentes sont nécessaires (par exemple, avec chaque engagement de code majeur, nous ne voulons pas que l'analyse de tout le code source se reproduise). Ayant utilisé les deux outils de manière intensive (SonarQube et Checkmarx), je préfère Checkmarx dans l'ensemble. Checkmarx s'en sort également mieux par rapport à ses pairs lorsqu'il s'agit de trouver des vulnérabilités dans la base de données. Comme notre application est axée sur les informations des utilisateurs, il devient encore plus urgent d'identifier les vulnérabilités spécifiques aux données le plus tôt possible. Avis collecté par et hébergé sur G2.com.

Le tableau de bord pourrait être meilleur. L'interface utilisateur pour montrer le problème actuel et le texte descriptif/suggestif pour la solution potentielle pourrait être plus "évidente" pour les utilisateurs finaux. SonarQube surpasse Checkmarx à cet égard. De plus, le tableau de bord pourrait offrir un peu plus de flexibilité pour la création de nouveaux widgets. Une autre chose que je n'ai pas aimée à propos de Checkmarx est que je n'ai pas pu trouver de version gratuite sur le marché. Même pour faire une comparaison initiale, j'ai dû contacter le représentant commercial (les représentants commerciaux ont été assez rapides à répondre, cependant). Avis collecté par et hébergé sur G2.com.

Facile de scanner n'importe quelle application pour trouver des menaces de sécurité Avis collecté par et hébergé sur G2.com.

Après avoir marqué les faux positifs, il arrive encore parfois que le même problème soit signalé comme un problème de sécurité élevé ou critique. Avis collecté par et hébergé sur G2.com.

Il identifie toutes les vulnérabilités de sécurité, rendant votre code plus sécurisé que jamais. Il catégorise également les vulnérabilités en différentes catégories en fonction du risque associé. Peut être facilement intégré à votre pipeline CI pour que votre code soit analysé à chaque construction. Avis collecté par et hébergé sur G2.com.

Nous pouvons avoir une interface utilisateur plus conviviale et améliorée pour parcourir le rapport. Avis collecté par et hébergé sur G2.com.