Recensioni e Dettagli del Prodotto Snyk

Quello che mi piace di più di Snyk è come integra la sicurezza nel flusso di lavoro degli sviluppatori senza interromperlo. I plugin per VS Code e JetBrains forniscono feedback in tempo reale sulle vulnerabilità mentre scrivo codice, riducendo significativamente il tempo di risoluzione. Invece di limitarsi a segnalare un CVE, Snyk ti dice esattamente a quale versione aggiornare e spesso apre automaticamente una PR di correzione, risparmiando ore di confronto manuale. Il grafo delle dipendenze rende facili da comprendere le vulnerabilità transitive, e l'analisi della raggiungibilità ci permette di concentrarci su ciò che è realmente sfruttabile piuttosto che annegare nei falsi positivi.

Dal punto di vista delle prestazioni, le scansioni sono veloci anche su grandi monorepo, e la dashboard rimane reattiva senza ritardi, non sembra mai un collo di bottiglia nella pipeline CI.

Per quanto riguarda i prezzi e il ROI, il valore diventa chiaro rapidamente. Individuare le vulnerabilità prima del deployment piuttosto che dopo la produzione consente di risparmiare notevolmente sui costi di risposta agli incidenti, e il livello gratuito è abbastanza generoso da permettere ai team più piccoli di vedere un valore reale prima di impegnarsi. Anche l'onboarding è stato fluido, collegare i repository GitHub ha richiesto pochi minuti e ci ha fornito un quadro immediato del rischio. Sembra uno strumento di sicurezza costruito per gli sviluppatori, il che rende l'adozione più facile tra i team di ingegneria. Recensione raccolta e ospitata su G2.com.

Alcuni punti di attrito si distinguono. Il rumore proveniente dalle vulnerabilità a bassa gravità può essere travolgente, specialmente nei progetti più grandi, mentre la prioritizzazione aiuta, regolare i filtri per adattarsi alla tua specifica tolleranza al rischio richiede tempo e tentativi ed errori. La rilevazione dei problemi di licenza, sebbene utile, a volte segnala cose che in realtà non sono una preoccupazione nel tuo caso d'uso, aggiungendo a quel rumore.

Il prezzo può diventare un punto dolente man mano che i team crescono. Il salto tra i livelli sembra ripido, e alcune funzionalità che sembrano essenziali, come reportistica più approfondita o SSO, sono bloccate dietro piani più alti, il che può essere frustrante per i team di medie dimensioni che cercano di giustificare l'aggiornamento.

Occasionalmente i suggerimenti di correzione non sono attuabili perché la versione raccomandata introduce cambiamenti che rompono la compatibilità, quindi finisci comunque per fare ricerche manuali. Sarebbe più utile se Snyk segnalasse i rischi di compatibilità insieme alla raccomandazione di correzione. I risultati di Snyk Code (SAST) possono anche sembrare meno maturi rispetto al lato SCA, con più falsi positivi e meno contesto sul perché qualcosa è stato segnalato.

Nel complesso, questi sono inconvenienti gestibili, ma aggiungono attrito per i team che cercano di operare in modo snello. Recensione raccolta e ospitata su G2.com.

Snyk si integra perfettamente con GitHub, AWS, ECR e Artifactory per fornire un'esperienza devsecops senza interruzioni per sviluppatori e ingegneri del rilascio. Una delle cose che mi piace di più di Snyk è la sua capacità di inviare patch di vulnerabilità tramite PR autonomamente (se abilitato). Altre funzionalità includono l'intelligenza di raggiungibilità e sfruttabilità che ci fornisce dati chirurgici su cui agire, riducendo il sovraccarico di vulnerabilità e tagliando il rumore. La nuova sezione di analisi e report ci consente di determinare SLA e tempi di violazione per ciascuna vulnerabilità. Recensione raccolta e ospitata su G2.com.

Abbiamo visto che l'interfaccia utente di Snyk e la CLI di Snyk hanno risultati fuorvianti in alcuni casi. Anche se questo non è vero nella maggior parte dei casi, abbiamo osservato che in circa il 2-3% dei casi tali anomalie hanno causato confusione tra gli sviluppatori. Recensione raccolta e ospitata su G2.com.

Mi piace che Snyk esegua facilmente le scansioni e fornisca anche le versioni in cui le vulnerabilità sono risolte. Questa funzione è preziosa perché mi aiuta a identificare i rischi per la sicurezza o le cattive implementazioni nei miei cambiamenti di codice senza dover testare e aggiornare manualmente il mio codice e le dipendenze. Apprezzo anche il processo di configurazione semplice; l'estensione per Snyk è disponibile in Visual Studio Code e, dopo averla scaricata, ho solo dovuto iscrivermi e autenticare il mio progetto. Recensione raccolta e ospitata su G2.com.

Ho visto che Snyk non gestisce bene le vulnerabilità legate alle licenze. Recensione raccolta e ospitata su G2.com.

Snyk è facile da configurare e iniziare a usare. Configurarlo per funzionare come un'azione di GitHub permette di integrarlo senza problemi insieme ad altri processi CI esistenti. Inoltre, mi piace che la sua scansione delle vulnerabilità sia praticamente universalmente affidabile tra gli ingegneri, questa fiducia consente tranquillità. Recensione raccolta e ospitata su G2.com.

Questo potrebbe essere cambiato dall'ultima volta che ho lavorato con questo prodotto, ma al tempo Snyk era un po' costoso rispetto a prodotti simili. Recensione raccolta e ospitata su G2.com.

Ciò che apprezzo di più di Snyk è la sua funzione "Reachability". Questo significa che se una libreria o un pacchetto vulnerabile o sfruttabile è importato nel codice ma non effettivamente chiamato o utilizzato, viene identificato come un falso positivo e non richiede una correzione. Tuttavia, questa funzione è disponibile solo nell'abbonamento a pagamento, non nella versione gratuita. Riduce significativamente il tempo che il team VAPT trascorre a convalidare i problemi e aiuta anche il team DevOps a risolvere i problemi in modo più efficiente.

Un altro aspetto che apprezzo è la rapidità con cui Snyk si adatta ai nuovi CVE. Se appare un exploit zero-day, Snyk aggiorna il suo database CVE entro un massimo di 24 ore, contribuendo a mantenere il codice sicuro. Recensione raccolta e ospitata su G2.com.

Dopo alcuni mesi dall'importazione, scansione e test del progetto, Snyk inizia a fornire anche falsi positivi. Recensione raccolta e ospitata su G2.com.

Le funzionalità del prodotto di Snyk presentano un'interfaccia grafica altamente intuitiva, rendendo semplice identificare e affrontare le vulnerabilità. La piattaforma consente di organizzare gli sviluppatori in Orgs, il che è utile per garantire che solo specifici team di sviluppo possano visualizzare le vulnerabilità relative ai propri prodotti. Questa struttura migliora anche le capacità di reporting. L'integrazione con GitHub Cloud è relativamente semplice; puoi utilizzare un'app GitHub per integrare singoli repository negli org di team. L'implementazione è anche abbastanza gestibile, a condizione che tu sappia quali team sono responsabili di quali repository e dei prodotti o servizi che supportano. Il supporto clienti è accessibile online tramite il portale, rendendo facile inviare un ticket o organizzare una chiamata quando necessario. Snyk è anche abbastanza personalizzabile per org, permettendoti di decidere quali impostazioni abilitare su base per team/prodotto, così puoi essere piuttosto dettagliato in termini di quali PR vengono sollevati per quali attività. Il feedback è fornito anche direttamente in GitHub, il che è utile per gli sviluppatori. Recensione raccolta e ospitata su G2.com.

Il prodotto DAST è in un'interfaccia separata e non integrato nel prodotto Snyk stesso, credo che ciò sia dovuto al fatto che è stato un'acquisizione. Allo stesso modo, la loro capacità di rilevamento dei segreti non è molto buona e non si concentrano sulla qualità del codice, quindi avrai bisogno di un prodotto diverso per questo. Recensione raccolta e ospitata su G2.com.

It provides clear visibility into the code that’s deployed, which helps us understand what’s running and ensures it meets our desired security standards. Recensione raccolta e ospitata su G2.com.

The auto-imports and overall cost, including open-source scanning, don’t feel optimised. Also, the results contains false positives which can create ambiguity Recensione raccolta e ospitata su G2.com.

Snyk ha un ampio e aggiornato database delle vulnerabilità che aiuta a rilevare precocemente le vulnerabilità nelle applicazioni. È molto amichevole per gli sviluppatori con una facile configurazione dell'integrazione e consigli descrittivi per la risoluzione delle vulnerabilità rilevate. Lo uso quotidianamente nei pipeline CI/CD. Recensione raccolta e ospitata su G2.com.

A volte segnala falsi positivi. Le scansioni possono richiedere alcuni minuti per un repository di medie dimensioni, il che può rallentare la pipeline. Recensione raccolta e ospitata su G2.com.

Interfaccia utente, categorizzazione, profondità nella recensione Recensione raccolta e ospitata su G2.com.

troppi falsi positivi, a volte troppi dettagli rendono complesso l'analisi Recensione raccolta e ospitata su G2.com.

Le sue capacità di scansione sono molto buone. Ad esempio, funziona davvero bene nelle scansioni SAST e persino nelle scansioni SCA. È anche utile nel mitigare le vulnerabilità fornendo le migliori soluzioni. Recensione raccolta e ospitata su G2.com.

È il costo. È molto costoso. A parte questo, l'interfaccia utente potrebbe essere un po' migliore. Recensione raccolta e ospitata su G2.com.