Avaliações e Detalhes do Produto Checkmarx

Ajuda a automatizar uma revisão de segurança de uma base de código. Fácil de implementar em repositórios existentes. Interface de usuário intuitiva e boas descrições de vulnerabilidades com dicas de onde no código e como corrigir. Análise coletada por e hospedada no G2.com.

Infelizmente, o Checkmarx relatou um grande número de falsos positivos para projetos baseados em Kotlin. Provavelmente, essa linguagem é mal suportada porque não houve tais problemas em linguagens mais populares como Java ou Javascript. Análise coletada por e hospedada no G2.com.

É tão fácil de usar e é muito fácil se familiarizar com todos os inúmeros recursos. Embora eu não estivesse presente para a implementação, descobri que é relativamente simples integrar funcionalidades adicionais. As ferramentas de varredura (IaC, SAST, SCA, API etc.) são todas excelentes e nos fornecem todo o status e visibilidade que precisamos. Se algum dia tivermos problemas que não possam ser resolvidos, a equipe de Suporte ao Cliente da Checkmarx sempre está lá para nos ajudar. Análise coletada por e hospedada no G2.com.

O layout e a exibição dos painéis podem ser melhorados. Análise coletada por e hospedada no G2.com.

Eu gosto da coisa de SAST-ificação no geral, ela tem todas as ofertas que variam desde varreduras de código-fonte até sca, até varredura de licenças e faz um ótimo trabalho encontrando vulnerabilidades. É fácil de usar e visualmente fácil de procurar os bugs. Da mesma forma, é muito otimizado para que possamos integrar com os pipelines de CI/CD. Análise coletada por e hospedada no G2.com.

O custo de aquisição em todos os módulos é bastante alto. Análise coletada por e hospedada no G2.com.

As implementações de UI são realmente boas (Matrizes de Fluxo de Dados) sugestões são fornecidas para o lugar mais adequado para corrigir um conjunto de vulnerabilidades. A maioria das integrações está funcionando perfeitamente. Análise coletada por e hospedada no G2.com.

O serviço de suporte está sendo atrasado às vezes

Algumas das descobertas tendem a ser falsos positivos

O tempo de varredura é lento quando comparado com outras ferramentas.

Algumas das integrações de IDE não estão funcionando como pretendido. Análise coletada por e hospedada no G2.com.

A integração com CI/CD é bastante rica em recursos. Análise coletada por e hospedada no G2.com.

Alto número de falsos positivos, a menos que você o adapte cuidadosamente a cada projeto. Análise coletada por e hospedada no G2.com.

Checkmarx Tool examina o código muito bem. Fornece resultados precisos, uma análise aprofundada pode ser feita porque o Checkmarx fornece o fluxo de código desde a origem até os valores serem executados. Análise coletada por e hospedada no G2.com.

Checkmarx relata muitos problemas de falsos positivos. Se for uma base de código de uma aplicação grande, é difícil controlar o número de problemas de falsos positivos para analisar. Análise coletada por e hospedada no G2.com.

Os recursos mais valiosos são a interface fácil de entender, e é muito amigável ao usuário. Ele irá escanear o código linha por linha e encontrar a maioria das vulnerabilidades. Relatório de vulnerabilidades é incrível. Análise coletada por e hospedada no G2.com.

A interface do usuário deve ser atualizada. Reduzir o falso positivo. Atualizar o conjunto de regras para evitar o falso positivo. Análise coletada por e hospedada no G2.com.

Checkmarx tem um recurso impressionante chamado Codebashing que tem vantagem sobre o SonarQube. O recurso de rastreamento e relatório de aplicativos também é bom. Eu gosto do recurso "delta-scan", pois é realmente bom para casos em que são necessárias verificações muito frequentes (por exemplo, com cada grande commit de código, não queremos que a verificação de todo o código-fonte aconteça novamente). Tendo usado extensivamente ambas as ferramentas (SonarQube e Checkmarx), eu prefiro o Checkmarx no geral. Checkmarx também se sai melhor em comparação com os concorrentes quando se trata de encontrar quaisquer vulnerabilidades dentro do banco de dados. Como o nosso é um aplicativo orientado por informações do usuário, torna-se ainda mais iminente identificar as vulnerabilidades específicas de dados o mais cedo possível. Análise coletada por e hospedada no G2.com.

O painel poderia ser melhor. A interface para mostrar o problema atual e o texto descritivo/sugestivo para a possível correção poderia ser mais "óbvia" para os usuários finais. O SonarQube se destaca em relação ao Checkmarx nesse aspecto. Além disso, o painel poderia oferecer um pouco mais de flexibilidade na criação de novos widgets. Outra coisa que não gostei no Checkmarx é que não consegui encontrar uma versão gratuita no mercado. Mesmo para fazer uma comparação inicial, tive que entrar em contato com o representante de vendas (os representantes de vendas foram bastante rápidos em responder, no entanto). Análise coletada por e hospedada no G2.com.

Fácil de escanear qualquer aplicação para encontrar ameaças de segurança Análise coletada por e hospedada no G2.com.

Após marcar falsos positivos, ainda assim, às vezes, ele mostra o mesmo problema como uma questão de segurança alta ou crítica. Análise coletada por e hospedada no G2.com.

Ele identifica todas as vulnerabilidades de segurança, tornando seu código mais seguro do que nunca. Ele também categoriza as vulnerabilidades em diferentes categorias com base no risco associado. Pode ser facilmente integrado ao seu pipeline de CI para que seu código seja verificado a cada build. Análise coletada por e hospedada no G2.com.

Podemos ter uma interface de usuário mais amigável e melhor para analisar o relatório. Análise coletada por e hospedada no G2.com.