Avis et détails du produit DryRun Security

Nous utilisons des outils SAST traditionnels, mais ils dépendent principalement de l'analyse statique basée sur des règles. DryRun Security, en revanche, se concentre sur la compréhension de l'intention du code et du flux logique, ce qui le rend efficace pour détecter les failles d'autorisation, les autorisations au niveau des objets cassées, les références directes aux objets non sécurisées et la logique métier non sécurisée. Alors que les assistants IA tels que Cursor ou les outils basés sur ChatGPT sont de plus en plus adoptés, nous faisons face à de nouveaux risques liés au code rédigé par l'IA. DryRun Security nous aide à nous concentrer spécifiquement sur les failles logiques qui peuvent apparaître dans les extraits de code générés par l'IA — des problèmes que les scanners traditionnels manquent souvent. Avis collecté par et hébergé sur G2.com.

Ce n'est pas nécessairement à propos de la fonctionnalité DryRun elle-même, mais il serait idéal d'avoir DryRun Security disponible en tant qu'offre sur le Marketplace du fournisseur de cloud que nous utilisons. Cela rendrait l'intégration, le renouvellement et l'intégration plus fluides et plus faciles dans l'ensemble. Avis collecté par et hébergé sur G2.com.

DryRun Security me donne une visibilité de haute qualité sur les changements qui comptent vraiment. Les analyseurs prêts à l'emploi m'aident à repérer rapidement les comportements inattendus ou risqués dans les pull requests sans avoir à tout passer au peigne fin manuellement. C'est devenu un moyen pratique d'étendre l'examen AppSec lorsque le volume de PR est élevé, notamment pour détecter les cas limites qui pourraient avoir un impact opérationnel ou de conformité réel.

J'apprécie également la rapidité avec laquelle l'équipe itère : elle ajoute régulièrement des fonctionnalités significatives, améliore la gestion des faux positifs et se comporte comme des leaders d'opinion dans le domaine de l'AppSec plutôt que comme "juste un autre scanner". Leur élan continu vers/à travers les certifications GRC est un indicateur fort qu'ils construisent pour des organisations sérieuses, pas pour des déploiements amateurs.

L'installation a été SI simple. Nous n'avons pas eu besoin de beaucoup ajuster, mais une fois que nous avons commencé, c'était encore mieux !

Si les citoyens de Troie avaient utilisé DryRun Security, les Grecs ne seraient jamais entrés. Avis collecté par et hébergé sur G2.com.

Je n'ai pas beaucoup de choses que je n'aime pas. Si je devais en choisir une, ce serait que j'aimerais voir encore plus d'investissements dans l'expérience des développeurs et l'adéquation au flux de travail quotidien—en faire un outil que les développeurs veulent utiliser, et non pas un que la sécurité doit constamment défendre. C'est déjà précieux, mais augmenter l'attrait pour les développeurs (UX, messages dans les PR, contexte "pourquoi c'est important", adoption plus fluide) le rendrait encore plus attractif. Avis collecté par et hébergé sur G2.com.

La nouvelle fonctionnalité Deep Scan, qui effectue un examen complet de notre application, a été incroyablement utile pour identifier les problèmes dans une application héritée avec des millions de lignes de code. Au cours des 20+ années de la durée de vie de cette application, nous avons eu plusieurs audits et examens par des tiers. L'IA de DryRun avait une meilleure compréhension de l'intention commerciale et de la structure globale du code que la plupart des auditeurs précédents. Je m'attendais à un flot de résultats, dont la plupart seraient des faux positifs ou des non-problèmes. Cependant, le rapport a répertorié une vingtaine d'éléments à vérifier, dont un seul était un faux positif complet. Nous ajustons encore le moteur pour nos utilisations, mais les revues de PR ont été utiles et perspicaces. Avis collecté par et hébergé sur G2.com.

Leur interface utilisateur peut être un peu lente, surtout lorsqu'il y a de nombreux dépôts GitLab liés. Il est assez clair qu'ils ont passé la plupart de leur temps sur les moteurs de scan, et que l'interface utilisateur était une priorité moindre. Cependant, cela semble s'améliorer, car l'interface utilisateur s'est améliorée. Idéalement, vous ne devriez pas avoir besoin de l'utiliser beaucoup une fois qu'elle est opérationnelle ; vous pouvez simplement la laisser travailler directement avec votre dépôt. Avis collecté par et hébergé sur G2.com.

L'utilisation par DryRun des LLM et l'inclusion de contexte sur l'application lui permettent de fonctionner bien mieux que les outils SAST traditionnels. Il est capable de trouver des vulnérabilités de "logique métier" que les scanners SAST hérités sont tout simplement incapables de détecter et il caractérise mieux tous ses résultats en fonction du contexte de l'application qu'il ingère. Avis collecté par et hébergé sur G2.com.

Jusqu'à récemment, vous ne pouviez effectuer que des analyses au niveau des pull requests. Récemment, ils ont ajouté la possibilité d'effectuer des analyses de dépôt complet, donc je suis impatient de voir comment cette capacité évolue. Avis collecté par et hébergé sur G2.com.

L'équipe de DryRun Security a été merveilleuse à travailler avec, et la technologie est facile à intégrer. Elle fournit des détections précieuses et en constante amélioration et nous permet d'accélérer le développement de code sécurisé, surtout à l'ère de l'IA qui accélère la création de code. Ils innovent vraiment avec des détections agentiques dans les logiciels, pas seulement des correspondances de motifs statiques comme les fournisseurs SAST traditionnels, et peuvent effectuer une analyse multidimensionnelle à travers un large éventail de contextes. Cela aide à détecter des problèmes qui seraient autrement impossibles à détecter avec la technologie existante et rend notre code encore plus sécurisé contre les menaces complexes et émergentes comme l'injection de prompt ou l'IDOR. De plus, l'intégration avec la plateforme de protection en temps réel d'Impart Security est fluide, fournissant une solution native IA de bout en bout. La configuration initiale de DryRun Security a été très facile. Avis collecté par et hébergé sur G2.com.

J'aimerais voir DryRun Security analyser davantage la base de code, pas seulement les pull requests. Je crois qu'ils ont récemment lancé une nouvelle fonctionnalité appelée deepscan, et j'aimerais que l'approche DryRun soit utilisée pour évaluer l'ensemble du dépôt afin que je puisse avoir une idée non seulement du nouveau code mais aussi de la sécurité du code existant. Avis collecté par et hébergé sur G2.com.

J'utilise DryRun Security pour identifier les problèmes à revoir ou à améliorer en matière de sécurité, car notre équipe d'ingénierie engage beaucoup de code. Cela m'aide à être conscient des changements risqués dans la base de code et assiste dans les revues de sécurité du code. Ce que je préfère avec DryRun, c'est qu'il me permet de me concentrer sur d'autres tâches plutôt que de revoir constamment les changements de code et les PRs. J'apprécie que leur équipe soit assez rapide pour apporter des modifications demandées par les utilisateurs et qu'elle écoute les retours des clients. La configuration initiale a été très facile et fluide, et il n'y a vraiment rien de comparable pour le moment — c'est génial. Avis collecté par et hébergé sur G2.com.

Je souhaite quelque peu qu'il y ait plus d'options de personnalisation pour ajuster les analyseurs, mais cela semble être en cours de développement. Avis collecté par et hébergé sur G2.com.

La configuration est un processus unique, et tous les nouveaux dépôts sont analysés automatiquement. Les résultats apparaissent sous forme de commentaires sur les PR, ce qui les rend faciles à remarquer, à examiner et à traiter pour les développeurs.

Deepscan semble être un pas en avant pour établir une base de référence pour les normes de sécurité des dépôts et pour découvrir des problèmes dans les dépôts hérités. Avis collecté par et hébergé sur G2.com.

Le portail de gestion est encore lent à utiliser, et le temps de chargement est sensiblement lent selon les normes modernes. Avis collecté par et hébergé sur G2.com.

DryRun Security s'intègre facilement dans notre pipeline de construction existant afin que les analyses se fassent automatiquement et que nos développeurs reçoivent des retours quasi en temps réel sur les vulnérabilités dans leur code. Avis collecté par et hébergé sur G2.com.

Il n'y a rien que je n'aime vraiment pas chez DryRun Security. Même dans les situations où j'ai trouvé ce que je croyais être un bug dans le produit, ils ont été très rapides à enquêter et à revenir vers moi avec une solution. Avis collecté par et hébergé sur G2.com.

J'utilise DryRun Security pour examiner mon code à la recherche de vulnérabilités de sécurité. Cela m'aide à livrer du code sécurisé en production, et j'adore sa facilité d'utilisation car il s'intègre déjà dans le flux de travail auquel je suis habitué. C'est rapide et cela me permet de continuer à travailler sans avoir à compiler mon code et attendre des heures pour qu'une analyse se termine. DryRun examine mes modifications dans le PR et détermine si nous introduisons des risques pour notre application. La configuration initiale a été vraiment facile. Avis collecté par et hébergé sur G2.com.

Il n'y a rien à détester Avis collecté par et hébergé sur G2.com.

J'aime DryRun Security pour sa facilité d'utilisation, même lors de la gestion de centaines de dépôts. J'apprécie que les résultats de sécurité soient directement présentés à l'ingénieur dans le commentaire GitHub avec un contexte précieux. Ce contexte est crucial car il aide les ingénieurs à comprendre les véritables causes profondes et les risques, au-delà de simplement corriger un autre bug. L'installation a été aussi simple que d'installer une application GitHub. Avis collecté par et hébergé sur G2.com.

Jusqu'à présent, tout a fonctionné comme prévu. En termes d'amélioration, le support des dépôts monolithiques serait la chose la plus utile, mais je sais que cette fonctionnalité arrive bientôt. Avis collecté par et hébergé sur G2.com.