Ce que j'apprécie le plus chez Snyk, c'est sa fonctionnalité "Reachability". Cela signifie que si une bibliothèque ou un package vulnérable ou exploitable est importé dans le code mais n'est pas réellement appelé ou utilisé, il est identifié comme un faux positif et ne nécessite pas de remédiation. Cependant, cette fonctionnalité n'est disponible que dans l'abonnement payant, pas dans la version gratuite. Cela réduit considérablement le temps que l'équipe VAPT passe à valider les problèmes, et aide également l'équipe DevOps à résoudre les problèmes plus efficacement. Un autre aspect que j'apprécie est la rapidité avec laquelle Snyk s'adapte aux nouvelles CVE. Si une exploitation zero-day apparaît, Snyk met à jour sa base de données CVE dans un délai maximum de 24 heures, aidant à maintenir le code sécurisé.

Les fonctionnalités du produit de Snyk comprennent une interface utilisateur graphique très intuitive, ce qui facilite l'identification et la résolution des vulnérabilités. La plateforme vous permet d'organiser les développeurs en organisations, ce qui est utile pour s'assurer que seules certaines équipes de développement peuvent voir les vulnérabilités liées à leurs propres produits. Cette structure améliore également les capacités de reporting. L'intégration avec GitHub Cloud est relativement simple ; vous pouvez utiliser une application GitHub pour intégrer des dépôts individuels aux organisations d'équipe. La mise en œuvre est également assez gérable, à condition de savoir quelles équipes sont responsables de quels dépôts et des produits ou services qu'elles soutiennent. Le support client est accessible en ligne via le portail, ce qui facilite la soumission d'un ticket ou l'organisation d'un appel si nécessaire. Snyk est également assez personnalisable par organisation, vous permettant de décider quels paramètres vous souhaitez activer pour chaque équipe ou produit, afin que vous puissiez être très précis en termes de PR qui sont soulevés pour quelles activités. Les retours sont également fournis directement dans GitHub, ce qui est utile pour les développeurs.

Ses capacités de numérisation sont très bonnes. Par exemple, il fonctionne vraiment bien dans les analyses SAST et même les analyses SCA. Il est également utile pour atténuer les vulnérabilités en fournissant les meilleures solutions.