Checkmarx Reseñas y Detalles del Producto

Las mejores características de Checkmarx son:

1) Escáner de vulnerabilidades de código abierto

2) Integración con múltiples herramientas de orquestación de CI/CD

3) Informes en tiempo real de vulnerabilidades de código estático Reseña recopilada por y alojada en G2.com.

Siento que el fragmento de código de Jenkins de Checkmarx es un poco complejo y podría ser mucho más simple. Reseña recopilada por y alojada en G2.com.

CheckMarx se ha utilizado como una aplicación para escanear las aplicaciones y rectificar vulnerabilidades en el código y verificar las fallas de seguridad. He estado usando CheckMarx para verificar lo mismo en mi aplicación .NET y he encontrado que CheckMarx es de gran utilidad. Me gustaría mencionar algunas cosas buenas al respecto.

1.) Tiene soporte para muchos lenguajes. En mi caso, puede encontrar las fallas en C#, JavaScript, JQuery, TypeScript.

2.) La descripción es bastante clara sobre los problemas, lo que facilita entender la declaración del problema detrás de la falla de seguridad.

3.) La comunidad en línea presente para CheckMarx es bastante buena, lo que facilita encontrar la resolución. Reseña recopilada por y alojada en G2.com.

Aunque CheckMarx es bastante útil para verificar las amenazas de seguridad en el código de la aplicación, hay algunas cosas que el equipo de CheckMarx podría mejorar para hacerlo más útil y eficiente. 1.) Hay muchos falsos positivos que aumentan muchos problemas que, a su vez, deben marcarse como no explotables. 2.) El costo por usuario de la suscripción a CheckMarx es alto, lo que dificulta que las pequeñas organizaciones lo adquieran completamente. Reseña recopilada por y alojada en G2.com.

El informe generado por esta herramienta es completo y fácil de entender. Tiene buenos gráficos. Reseña recopilada por y alojada en G2.com.

El informe a veces tiene falsos positivos y duplicaciones. Reseña recopilada por y alojada en G2.com.

facilidad de implementación. Número de idiomas soportados y mejor lugar para corregir la función. Reseña recopilada por y alojada en G2.com.

Demasiado detalle en el informe para pequeñas tiendas de seguridad. Reseña recopilada por y alojada en G2.com.

Me gusta la forma en que el informe de Checkmarx proporciona un relato detallado de todas las posibles vulnerabilidades y luego ofrece ejemplos de cómo se puede solucionar el problema. Esto es muy útil cuando se trata de intentar resolver todos los problemas. Reseña recopilada por y alojada en G2.com.

Como con cualquier cosa automatizada, algunos problemas que se encuentran son simplemente no-problemas. Usamos varios productos de seguridad como Checkmarx y diría que es menos incorrecto que los otros. Reseña recopilada por y alojada en G2.com.

Los resultados son bastante buenos con CheckMarx. Esta herramienta es útil para construir código fuente seguro. El informe de escaneo de CheckMarx ofrece una vista detallada de cada problema y se proporciona un diagrama de flujo para las variables que podrían causar una amenaza de seguridad. El escaneo de código es rápido. Reseña recopilada por y alojada en G2.com.

A veces, los informes generados por el escaneo de CheckMarx contienen muchos problemas de falsos positivos, incluso cuando el código está diseñado de manera que garantiza la seguridad. Esto disminuye la legibilidad de los informes. Reseña recopilada por y alojada en G2.com.

Nuestra elección de Checkmarx como herramienta de auditoría de código estático se realizó después de una larga reflexión. La riqueza en términos de lenguajes y la personalización de los preajustes fueron determinantes. Al principio, fuimos acompañados por un equipo editorial muy competente. Hoy en día, el uso de la herramienta es inevitable. Lo utilizamos tanto como una herramienta integrada en nuestros IDEs, como también al construir en nuestra plataforma de integración continua. También está a disposición del equipo de seguridad para auditar el código entregado por un proveedor de servicios externo.

También apreciamos la posibilidad de modificar y crear nuevas reglas para eliminar falsos positivos. La herramienta también es rica en términos de indicadores y gráficos. Proporciona un panel que facilita el seguimiento de los puntajes de nivel de riesgo de la aplicación a lo largo del tiempo y ofrece a la gestión informes completos. Los detalles de las vulnerabilidades detectadas y la descripción de las correcciones permiten a los equipos de desarrollo corregir las vulnerabilidades y aprender sobre la seguridad del código. Reseña recopilada por y alojada en G2.com.

En cada auditoría, el número de falsos positivos es alto, pero este es un defecto específico de las herramientas SAST. El conocimiento de las especificidades del negocio de la aplicación es necesario para personalizar los ajustes preestablecidos y eliminar los falsos positivos. Esta herramienta es un paso en el proceso de auditoría de seguridad, debe ser completada por auditorías DAST e IAST. Reseña recopilada por y alojada en G2.com.

La automatización ha sido mucho más fácil con Checkmarx. Reseña recopilada por y alojada en G2.com.

Incluso si 1 prueba falla, muestra todo como fallido. Reseña recopilada por y alojada en G2.com.

Da sugerencias sobre problemas técnicos correctamente. Reseña recopilada por y alojada en G2.com.

Es un poco confuso con las bases de código existentes. Reseña recopilada por y alojada en G2.com.

Esta es una herramienta excelente para escribir código seguro y seguir las mejores prácticas. Me gusta que ofrece una visión detallada del problema en tu código estático y también proporciona formas de solucionarlo. Atribuye un perfil de riesgo a cada problema y de esta manera puedes resolver primero los de alta prioridad. Reseña recopilada por y alojada en G2.com.

El documento generado a veces puede ser demasiado extenso y puedes perder de vista qué problemas resolver. A veces, incluso si has resuelto todos los problemas, volver a ejecutar el informe no garantiza un conteo de cero. Reseña recopilada por y alojada en G2.com.