Recensioni e Dettagli del Prodotto StackHawk

StackHawk è un prodotto estremamente efficace per l'azienda. Ci fa risparmiare denaro E rende i nostri processi più efficienti. Recensione raccolta e ospitata su G2.com.

Niente. Amo StackHawk e quello che fa. Recensione raccolta e ospitata su G2.com.

La fascia di prezzo è ottimale, adatta alla dimensione dell'organizzazione Recensione raccolta e ospitata su G2.com.

Non credo ci siano grandi svantaggi Recensione raccolta e ospitata su G2.com.

Il mio team ha iniziato a utilizzare Stackhawk alcuni mesi fa per una sola applicazione che supporta un prodotto web. Ci fornisce potenziali rischi di sicurezza trascurati e ci permette di avere dati di verifica aggiuntivi per garantire che i rischi/problemi siano mitigati come ci aspettiamo.

1. Facile. Stackhawk offre strumenti incredibilmente facili da configurare. Forniscono una documentazione eccellente per iniziare a utilizzare la CLI. Consiglio anche l'interfaccia web poiché la configurazione è estremamente semplice.

2. Informativo. I risultati delle scansioni di sicurezza di Stackhawk sono fantastici. I dettagli sui rischi/elementi identificati sono utili, chiari e ben visualizzati. Lo strumento web offre anche utilità (ad esempio, copia come cURL) per tentare di riprodurre specifici fallimenti dei test o eseguire ulteriori diagnosi.

3. Completo per le API. Infine, gli strumenti di scansione della sicurezza sono eccezionali per applicazioni/sistemi basati su API. Soprattutto con un'architettura basata su tipizzazione rigorosa come GraphQL, Stackhawk può davvero fornire output di alto valore per un costo/sforzo di configurazione relativamente ridotto. Recensione raccolta e ospitata su G2.com.

Non direi che al momento non mi piace nulla di ciò che Stackhawk offre. Tuttavia, nel metodo relativamente contenuto con cui abbiamo utilizzato lo strumento, abbiamo alcune raccomandazioni disponibili per la considerazione.

1. Organizzazione per area di interesse. Gli elementi di rischio in uscita sono ben etichettati. Tuttavia, sarebbe utile fornire etichette o aree in anticipo che personalizzano/modificano il tipo di scansione eseguita (ad esempio, mirare ai rischi per il cross-site scripting).

2. Scansioni specifiche per tecnologia o stack. La nostra applicazione è un sito web Ruby on Rails e Stackhawk attualmente la tratta come un'app web generica. Questo non è un problema, ma man mano che Stackhawk si espande sarebbe interessante approfondire i test di alto valore che sono rilevanti per l'architettura attuale di un'applicazione.

3. Problemi di sicurezza su Github. Infine, poiché utilizziamo le azioni di Github per il CI, sarebbe fantastico vedere un'integrazione in cui i rischi di Stackhawk vengono scritti direttamente negli elementi di sicurezza del repository. Sono sicuro che questo sia già possibile oggi e che sia solo una questione di tempo prima che diventi integrato. Recensione raccolta e ospitata su G2.com.

Può trovare le vulnerabilità più comuni nelle applicazioni web comuni. Facile da usare e con una bella interfaccia utente. Recensione raccolta e ospitata su G2.com.

Non si avvicina minimamente a un vero test di penetrazione e non trova molte vulnerabilità in GraphQL. Recensione raccolta e ospitata su G2.com.

1. Approfondimenti completi - Entro un'ora dall'aver completato la configurazione iniziale, ho ricevuto suggerimenti attuabili per problemi che probabilmente non avrei scoperto altrimenti. In particolare, è riuscito a identificare casi in cui il mio codice si sarebbe comportato male contro input ostili, nonostante il codice sembrasse perfettamente a posto da un punto di vista logico; il vero colpevole era probabilmente una combinazione di versioni software e dipendenze di libreria, ma questo approfondimento mi ha permesso di sviluppare una soluzione sicura.

Ha anche fornito molti altri suggerimenti, che sono stati molto ben accolti, e mi sento molto più sicuro di aver fatto la cosa giusta per i miei utenti dopo aver apportato quelle modifiche.

2. Gli approfondimenti sono facili da replicare - la richiesta e la risposta sono dettagliate per ogni chiamata, quindi puoi verificarle tu stesso.

3. Un ultimo vantaggio degno di nota è che è facile da integrare con la tua pipeline CI/CD sulla maggior parte dei siti di hosting di repository popolari. È anche altamente configurabile - puoi decidere quanto tempo vuoi che lo scanner funzioni in totale e per ogni singola regola contro cui controlla. Questo lo rende più facile da sostenere, poiché potresti volere controlli più leggeri se lo esegui spesso. Recensione raccolta e ospitata su G2.com.

La configurazione non è la più semplice rispetto ad alcuni concorrenti. Devi scaricare un'immagine Docker ed eseguire lo scanner, oppure integrarlo nel tuo pipeline CI/CD. Tuttavia, questo è un piccolo dettaglio e sono stato operativo in meno di 20 minuti. Recensione raccolta e ospitata su G2.com.

Lo strumento StackHawk ha una documentazione eccellente ed è molto intuitivo da configurare sia per uno sviluppatore che per una persona DevOps. Con StackHawk, possiamo trovare vulnerabilità in un ambiente in esecuzione piuttosto che in un ambiente statico, il che significa che siamo consapevoli delle minacce alla nostra applicazione in un ambiente live. StackHawk ha molte integrazioni CICD e di notifica, anche se mancano alcuni canali di notifica popolari come Discord, che sono utilizzati nella maggior parte dei progetti personali. Recensione raccolta e ospitata su G2.com.

StackHawk manca della funzionalità per impostare integrazioni opzionali per determinate applicazioni e ambienti. Tutti i risultati delle scansioni di tutte le applicazioni e ambienti vengono inviati a tutte le integrazioni che sono abilitate. Nell'integrazione con Datadog, il livello di rischio complessivo non viene inviato ed è scomodo impostare regole di parsing personalizzate per calcolare il livello di rischio e allertare in base a quello. StackHawk richiede un'immagine docker per eseguire i test in CICD, e non tutte le applicazioni sono containerizzate, rendendo questo incompatibile per applicazioni non containerizzate. Un formato di report JUnit sarebbe stato un'ottima aggiunta alla lista esistente di formati di report JSON e PDF. Recensione raccolta e ospitata su G2.com.

Trova rapidamente il bug e supporta il nostro team correggendo quella vulnerabilità di sicurezza. Aiuta il mio team anche con la scansione delle API REST e GraphQL e con documentazioni di correzione semplici. È facile da usare. Recensione raccolta e ospitata su G2.com.

Fino ad oggi, non ho trovato alcun problema da stackhawk. Recensione raccolta e ospitata su G2.com.

Stackhawk è uno strumento utile quando si tratta di test di sicurezza e operazioni. Lo strumento mi aiuta a evitare bug vulnerabili. L'interfaccia utente/esperienza utente di Stackhawk è di prim'ordine e ha colori vivaci. Recensione raccolta e ospitata su G2.com.

Stackhawk non è eccezionale quando si tratta di configurare il software poiché richiede un'immagine docker per l'esecuzione nella pipeline CI/CD, il che lo rende incompetente per le applicazioni non containerizzate, ma il suo team di supporto è il migliore. Recensione raccolta e ospitata su G2.com.

In nessun ordine particolare:

Amo la loro UI/UX. Presenta i problemi in modo chiaro, dove posso facilmente passarli ai programmatori junior per indagare e risolvere con nient'altro che un link a un problema o una scansione. Fornisce buone spiegazioni per i problemi che segnala, oltre a link ad articoli di blog sui problemi (a volte specifici per affrontarli nel nostro particolare framework). Ha anche dati dettagliati sulle richieste, inclusi un comando cURL per riprodurre il problema, il corpo della risposta, e mette in evidenza le "prove" che ha trovato tentando di dimostrare che un problema non è un falso positivo.

I loro report PDF non sono solo una versione stampata del dashboard, ma un design specifico per PDF ben formattato e dall'aspetto gradevole, che è un buon documento da consegnare ai clienti o semplicemente per registrare i nostri problemi di sicurezza in un determinato momento. Anche il loro dashboard è facile da comprendere.

Mi piace che, a differenza di altri analizzatori statici che scansionano il codice per valutare potenziali vulnerabilità, StackHawk scansiona il tuo sito per cercare effettivamente di attivare vulnerabilità e produrre prove. Attraverso questo metodo, StackHawk ha trovato vulnerabilità XSS e ha avvertito di altri potenziali problemi che altri strumenti non hanno trovato, ed erano chiaramente riproducibili. Inoltre, questo metodo è più rassicurante e ha prodotto molti meno falsi positivi rispetto all'analisi del codice. La nostra azienda utilizza ancora l'analisi del codice statico, poiché è veloce ed economica (buona per l'integrazione continua), ma ora consideriamo StackHawk lo strumento definitivo per la valutazione programmatica delle vulnerabilità di sicurezza.

Mi piace anche il loro modello di prezzo. Il livello gratuito è veramente utile, gli aggiornamenti di prezzo hanno senso, e posso fare tutto da solo. Diversi concorrenti offrono prodotti di scansione simili ma costano migliaia di dollari all'anno e richiedono di parlare con un account manager per configurare. Ho parlato con un paio di rappresentanti di vendita per altri prodotti, e come organizzazione non-profit che cerca di mantenere bassi i costi, due diversi rappresentanti di vendita non mi hanno mai risposto riguardo a piani scontati (e i loro piani gratuiti erano solo prove limitate). Uno non l'ho mai effettivamente provato perché l'intero prodotto era a pagamento, il che va bene per clienti più grandi, suppongo, ma inaccessibile per me. Recensione raccolta e ospitata su G2.com.

L'unico svantaggio di StackHawk finora è il tempo che impiega una scansione. Mentre l'analisi del codice statico può richiedere solo pochi minuti, o addirittura secondi quando ci si concentra sui file in un particolare set di modifiche, le scansioni di StackHawk richiedono ore per essere completate e ci costringono a potenziare la capacità del nostro server di test o a dedicare la macchina di uno sviluppatore alla scansione. Un tempo di scansione lento va bene se ci concentriamo sulla sicurezza per una valutazione particolare o una revisione trimestrale, ma non possiamo usarlo come parte della nostra pipeline di integrazione continua "out of the box". Hanno documentazione su come ridurre i tempi di scansione ottimizzando i percorsi che esamina, parallelizzando certe aree del sito, ecc., ma dovremmo impostare una buona quantità di infrastruttura per farlo funzionare. Potremmo farlo, un giorno, ma non è certo facile come collegare un analizzatore di codice a Github.

Inoltre, una volta risolto un problema con il tuo sito, non sono riuscito a trovare un modo per rieseguire solo quel problema e aggiornare il rapporto di scansione perché non c'è (o non sembra esserci) un elenco centrale di problemi. Invece, hai un elenco di scansioni, e sebbene le scansioni mostrino i problemi precedentemente assegnati/accettati/ignorati come tali nelle nuove scansioni, visualizza le scansioni come isole a sé stanti. Questo significa solo che per ottenere un rapporto "pulito" dobbiamo eseguire una nuova scansione completa, che richiede tempo, a meno che non dedichiamo anche tempo a ottimizzare il nostro tempo di scansione. Finora l'ho lasciato eseguire durante la notte, il che minimizza il mio tempo impiegato, ma sarebbe bello poter ricontrollare solo un problema. Recensione raccolta e ospitata su G2.com.

Molte persone non hanno familiarità con il test di sicurezza delle applicazioni, le operazioni di sicurezza nello sviluppo o gli strumenti dinamici che possono essere utilizzati per testare e monitorare i prodotti. Amo come StackHawk permetta un unico punto di contesto per mantenere un account sviluppatore gratuitamente. Allo stesso tempo, un singolo utente pro costa (al momento della scrittura) circa $35/mese, più o meno quanto un tipico abbonamento in palestra. La sicurezza delle applicazioni è di importanza critica, e StackHawk la rende accessibile a quasi tutti. Recensione raccolta e ospitata su G2.com.

Non c'è nulla di specifico da non apprezzare, anche se mi piacerebbe avere più analisi visive in tempo reale formattate per l'accesso mobile. Recensione raccolta e ospitata su G2.com.