Avis et détails du produit StackHawk

StackHawk est un produit très efficace pour l'entreprise. Il nous fait économiser de l'argent ET rend nos processus plus efficaces. Avis collecté par et hébergé sur G2.com.

Rien. J'aime StackHawk et ce qu'il fait. Avis collecté par et hébergé sur G2.com.

La gamme de prix est optimale, adaptée à la taille de l'organisation. Avis collecté par et hébergé sur G2.com.

Je ne pense pas qu'il y ait de gros inconvénients. Avis collecté par et hébergé sur G2.com.

Mon équipe a commencé à utiliser Stackhawk il y a quelques mois pour une seule application qui soutient un produit de site web. Il nous fournit des risques de sécurité potentiellement négligés et nous permet d'obtenir des données de vérification supplémentaires pour s'assurer que les risques/problèmes sont atténués comme nous l'attendons.

1. Facile. Stackhawk fournit des outils incroyablement faciles à configurer. Ils fournissent une documentation géniale pour commencer à utiliser le CLI. Je recommande également l'interface web car la configuration est très simple.

2. Informatif. Les résultats des analyses de sécurité de Stackhawk sont fantastiques. Les détails sur les risques/éléments identifiés sont utiles, clairs et bien visualisés. L'outil web fournit également des utilitaires (par exemple, copier en cURL) pour tenter de reproduire des échecs de test spécifiques ou effectuer des diagnostics supplémentaires.

3. Approfondi pour les API. Enfin, les outils d'analyse de sécurité sont exceptionnels pour les applications/systèmes basés sur des API. Surtout avec une architecture basée sur un typage strict comme GraphQL, Stackhawk peut vraiment fournir des résultats de grande valeur pour un coût/effort de configuration relativement faible. Avis collecté par et hébergé sur G2.com.

Je ne dirais pas que je n'aime rien de ce que Stackhawk propose pour le moment. Cependant, dans la méthode relativement contenue que nous avons utilisée pour l'outil, nous avons quelques recommandations disponibles pour considération.

1. Organisation par domaine de préoccupation. Les éléments de risque de sortie sont bien étiquetés. Cependant, il serait précieux de fournir des étiquettes ou des domaines à l'avance qui personnalisent/modifient le type de scan exécuté (c'est-à-dire cibler les risques pour le cross-site scripting).

2. Scans spécifiques à la technologie ou à la pile. Notre application est un site web Ruby on Rails et Stackhawk le traite actuellement comme une application web générique. Ce n'est pas un problème, mais à mesure que Stackhawk se développe, il serait intéressant d'approfondir les tests de grande valeur qui sont pertinents pour l'architecture actuelle d'une application.

3. Problèmes de sécurité Github. Enfin, puisque nous utilisons les actions Github pour l'intégration continue, il serait formidable de voir une intégration où les risques Stackhawk sont directement écrits dans les éléments de sécurité du dépôt. Je suis sûr que c'est déjà possible aujourd'hui et qu'il s'agit d'une question de temps avant que cela ne devienne intégré. Avis collecté par et hébergé sur G2.com.

Peut trouver les vulnérabilités les plus courantes dans les applications web courantes. Facile à utiliser et belle interface utilisateur. Avis collecté par et hébergé sur G2.com.

Cela ne se rapproche en rien d'un véritable test de pénétration, et cela ne trouve pas beaucoup de vulnérabilités dans GraphQL. Avis collecté par et hébergé sur G2.com.

1. Aperçus complets - Une heure après avoir effectué la configuration initiale, j'avais des suggestions exploitables pour des problèmes que je n'aurais probablement pas découverts autrement. Plus particulièrement, il a réussi à identifier des cas où mon code se comporterait mal face à des entrées hostiles, malgré le fait que le code semblait parfaitement correct d'un point de vue logique ; le véritable coupable était probablement un mélange de versions de logiciels et de dépendances de bibliothèques, mais cet aperçu m'a permis de développer une solution de contournement sécurisée.

Il avait également de nombreuses autres suggestions, qui étaient très bienvenues, et je me sens beaucoup plus confiant d'avoir bien agi pour mes utilisateurs après avoir mis en œuvre ces changements.

2. Les aperçus sont faciles à reproduire - la demande et la réponse sont détaillées pour chaque appel, vous pouvez donc les vérifier vous-même.

3. Un dernier avantage à noter est qu'il est facile à intégrer dans votre pipeline CI/CD sur la plupart des sites d'hébergement de dépôts populaires. Il est également hautement configurable - vous pouvez décider combien de temps vous souhaitez que le scanner fonctionne au total et pour chaque règle individuelle qu'il vérifie également. Cela le rend plus facile à maintenir, car vous pourriez vouloir des vérifications plus légères si vous l'exécutez souvent. Avis collecté par et hébergé sur G2.com.

La configuration n'est pas la plus facile par rapport à certains concurrents. Vous devez télécharger une image Docker et exécuter le scanner, ou l'intégrer dans votre pipeline CI/CD. Cependant, c'est un détail mineur et j'étais opérationnel en moins de 20 minutes. Avis collecté par et hébergé sur G2.com.

L'outil StackHawk a une excellente documentation et est très intuitif à configurer pour un développeur et pour une personne DevOps. Avec StackHawk, nous pouvons trouver des vulnérabilités dans un environnement en cours d'exécution plutôt que dans un environnement statique, ce qui signifie que nous sommes conscients des menaces pour notre application dans un environnement en direct. StackHawk dispose de nombreuses intégrations CICD et de notification, bien que quelques canaux de notification populaires tels que Discord manquent, qui sont utilisés dans la plupart des projets personnels. Avis collecté par et hébergé sur G2.com.

StackHawk manque de la fonctionnalité pour définir des intégrations optionnelles pour certaines applications et environnements. Tous les résultats de scan de toutes les applications et environnements sont envoyés à toutes les intégrations qui sont activées. Dans l'intégration Datadog, le niveau de risque global n'est pas envoyé et il est peu pratique de configurer des règles d'analyse personnalisées pour calculer le niveau de risque et alerter en fonction de cela. StackHawk nécessite une image docker pour exécuter des tests dans CICD, et toutes les applications ne sont pas conteneurisées, ce qui rend cela incompatible pour les applications non conteneurisées. Un format de rapport JUnit aurait été un excellent ajout à la liste existante des formats de rapport JSON et PDF. Avis collecté par et hébergé sur G2.com.

Il trouve rapidement le bug et soutient notre équipe en corrigeant cette vulnérabilité de sécurité. Il aide mon équipe avec le balayage des API REST et GraphQL et les documentations de correction simples aussi. C'est facile à utiliser. Avis collecté par et hébergé sur G2.com.

À ce jour, je n'ai trouvé aucun problème avec StackHawk. Avis collecté par et hébergé sur G2.com.

Stackhawk est un outil pratique en matière de tests de sécurité ainsi que d'exploitation. L'outil m'aide à éviter les bugs vulnérables. L'interface utilisateur/expérience utilisateur de Stackhawk est de premier ordre et a des couleurs vives. Avis collecté par et hébergé sur G2.com.

Stackhawk n'est pas excellent en ce qui concerne l'installation du logiciel car il nécessite une image docker pour fonctionner dans le pipeline CI/CD, ce qui le rend incompétent pour les applications non conteneurisées et son équipe de support est la meilleure. Avis collecté par et hébergé sur G2.com.

J'aime leur UI/UX. Il présente les problèmes clairement, où je peux facilement les confier à des programmeurs juniors pour enquêter et corriger avec rien de plus qu'un lien vers un problème ou un scan. Il fournit de bonnes explications pour les problèmes qu'il signale, ainsi que des liens vers des articles de blog sur les problèmes (parfois spécifiques à notre cadre particulier). Il dispose également de données de requête détaillées, y compris une commande cURL pour reproduire le problème, le corps de la réponse, et met en évidence les "preuves" qu'il a trouvées en tentant de prouver qu'un problème n'est pas un faux positif.

Leurs rapports PDF ne sont pas seulement une version imprimée du tableau de bord, mais un design spécifique au PDF bien formaté et esthétique qui est un bon livrable pour les clients ou simplement pour enregistrer nos problèmes de sécurité à un moment donné. Leur tableau de bord est également facile à comprendre.

J'aime que contrairement à d'autres analyseurs statiques qui scannent le code pour évaluer les vulnérabilités potentielles, StackHawk scanne votre site pour essayer réellement de déclencher des vulnérabilités et produire des preuves. Grâce à cette méthode, StackHawk a trouvé des vulnérabilités XSS et a averti d'autres problèmes potentiels que d'autres outils n'ont pas trouvés, et qui étaient clairement reproductibles. De plus, cette méthode inspire plus de confiance et a produit beaucoup moins de faux positifs que l'analyse de code. Notre entreprise utilise toujours l'analyse de code statique, car elle est rapide et peu coûteuse (bonne pour l'intégration continue), mais nous considérons maintenant StackHawk comme l'outil définitif pour l'évaluation programmatique des vulnérabilités de sécurité.

J'aime aussi leur modèle de tarification. Le niveau gratuit est légitimement utile, les mises à niveau de tarification ont du sens, et je peux tout faire moi-même. Plusieurs concurrents offrent des produits de scan similaires mais coûtent des milliers de dollars par an et nécessitent de parler à un gestionnaire de compte pour s'installer. J'ai parlé à quelques représentants commerciaux pour d'autres produits, et en tant qu'organisation à but non lucratif cherchant à maintenir les coûts bas, deux représentants commerciaux différents ne m'ont jamais recontacté au sujet de plans à prix réduit (et leurs plans gratuits n'étaient que des essais limités). Un que je n'ai jamais réellement essayé parce que tout le produit était payant, ce qui est bien pour les plus gros clients je suppose, mais inaccessible pour moi. Avis collecté par et hébergé sur G2.com.

Le seul inconvénient de StackHawk jusqu'à présent est le temps qu'un scan prend. Alors que l'analyse de code statique peut prendre juste quelques minutes, voire quelques secondes lorsqu'on se concentre sur les fichiers d'un ensemble de modifications particulier, les scans de StackHawk prennent des heures à compléter et nécessitent soit d'augmenter la capacité de notre serveur de test, soit de dédier la machine d'un développeur au scan. Un temps de scan lent est acceptable si nous nous concentrons sur la sécurité pour une évaluation particulière ou une révision trimestrielle, mais nous ne pouvons pas l'utiliser comme partie de notre pipeline d'intégration continue "prêt à l'emploi". Ils ont de la documentation sur la réduction des temps de scan en optimisant les routes qu'il examine, en parallélisant certaines zones du site, etc., mais nous devrions mettre en place une bonne partie de l'infrastructure pour que cela fonctionne. Peut-être un jour, mais ce n'est certainement pas aussi simple que de connecter un analyseur de code à Github.

De plus, une fois que vous résolvez un problème avec votre site, je n'ai pas trouvé de moyen de relancer juste ce problème et de mettre à jour le rapport de scan parce qu'il n'y a pas (ou il ne semble pas y avoir) de liste centrale de problèmes. Au lieu de cela, vous avez une liste de scans, et bien que les scans montrent les problèmes précédemment assignés/acceptés/ignorés comme tels dans de nouveaux scans, ils affichent les scans comme des îles indépendantes. Cela signifie simplement que pour obtenir un rapport "propre", nous devons lancer un tout nouveau scan, ce qui prend du temps, à moins que nous ne passions également du temps à optimiser notre temps de scan. Jusqu'à présent, je l'ai juste laissé tourner pendant la nuit, ce qui minimise mon temps passé, mais re-vérifier juste un problème serait agréable. Avis collecté par et hébergé sur G2.com.

Beaucoup de gens ne sont pas familiers avec les tests de sécurité des applications, les opérations de sécurité du développement, ou les outils dynamiques qui peuvent être utilisés pour tester et surveiller les produits. J'adore comment StackHawk permet un point de contexte unique pour maintenir un compte développeur gratuitement. En même temps, un utilisateur professionnel unique coûte environ 35 $/mois, à peu près le même prix qu'un abonnement typique à une salle de sport. La sécurité des applications est d'une importance cruciale, et StackHawk la rend accessible à presque tout le monde. Avis collecté par et hébergé sur G2.com.

Il n'y a rien de spécifiquement déplaisant, bien que j'aimerais avoir plus d'analyses visuelles en temps réel formatées pour un accès mobile. Avis collecté par et hébergé sur G2.com.