Recensioni e Dettagli del Prodotto Checkmarx

Le migliori caratteristiche di Checkmarx sono:

1) Scanner di vulnerabilità Open Source

2) Integrazione con diversi strumenti di orchestrazione Ci/CD

3) Reportistica in tempo reale delle vulnerabilità del codice statico Recensione raccolta e ospitata su G2.com.

Sento che il frammento di codice Jenkins di Checkmarx è un po' complesso e potrebbe essere molto più semplice. Recensione raccolta e ospitata su G2.com.

CheckMarx è stato utilizzato come applicazione per scansionare le applicazioni al fine di rettificare le vulnerabilità nel codice e verificare le falle di sicurezza. Ho utilizzato CheckMarx per controllare lo stesso nella mia applicazione .NET e ho trovato CheckMarx di grande utilità. Vorrei menzionare alcune cose positive a riguardo.

1.) Supporta molti linguaggi. Nel mio caso, può trovare le falle in C#, JavaScript, jQuery, TypeScript.

2.) La descrizione è piuttosto chiara riguardo ai problemi, il che rende più facile comprendere la dichiarazione del problema dietro la falla di sicurezza.

3.) La comunità online presente per CheckMarx è piuttosto buona, il che rende più facile trovare la soluzione. Recensione raccolta e ospitata su G2.com.

Anche se CheckMarx è piuttosto utile per controllare le minacce alla sicurezza nel codice dell'applicazione, ci sono alcune cose che il team di CheckMarx potrebbe migliorare per renderlo più utile ed efficiente.

1.) Ci sono molti falsi positivi che aumentano notevolmente il numero di problemi che a loro volta devono essere contrassegnati come non sfruttabili.

2.) Il costo per utente dell'abbonamento a CheckMarx è elevato, il che rende difficile per le piccole organizzazioni possederlo completamente. Recensione raccolta e ospitata su G2.com.

Il rapporto generato da questo strumento è completo e facile da capire. Ha buoni grafici. Recensione raccolta e ospitata su G2.com.

Il rapporto a volte ha falsi positivi e duplicazioni Recensione raccolta e ospitata su G2.com.

facilità di distribuzione. Numero di lingue supportate e miglior posto per correggere la funzione. Recensione raccolta e ospitata su G2.com.

Troppi dettagli nel rapporto per piccoli negozi di sicurezza. Recensione raccolta e ospitata su G2.com.

Mi piace il modo in cui il rapporto di Checkmarx fornisce un resoconto dettagliato di tutte le potenziali vulnerabilità e poi fornisce esempi su come il problema può essere risolto. Questo è molto utile quando si tratta di cercare di risolvere tutti i problemi. Recensione raccolta e ospitata su G2.com.

Come con qualsiasi cosa automatizzata, alcuni problemi che vengono trovati sono semplicemente non-problemi. Utilizziamo diversi prodotti di sicurezza come Checkmarx e direi che è meno spesso errato rispetto agli altri. Recensione raccolta e ospitata su G2.com.

I risultati sono piuttosto buoni con CheckMarx. Questo strumento è utile per costruire codice sorgente sicuro. Il rapporto di scansione di CheckMarx fornisce una vista dettagliata di ogni problema e viene fornito un diagramma di flusso per le variabili che potrebbero causare una minaccia alla sicurezza. La scansione del codice è veloce. Recensione raccolta e ospitata su G2.com.

A volte i rapporti generati dalla scansione CheckMarx contengono molti problemi di falsi positivi anche se il codice è progettato in modo da garantire la sicurezza. Questo diminuisce la leggibilità dei rapporti. Recensione raccolta e ospitata su G2.com.

La nostra scelta di Checkmarx come strumento di audit del codice statico è stata fatta dopo una lunga riflessione. La ricchezza in termini di linguaggi e la personalizzazione dei preset sono stati determinanti. Siamo stati accompagnati inizialmente da un team di editori molto competente. Oggi, l'uso dello strumento è inevitabile. Lo utilizziamo sia come strumento integrato nei nostri IDE, sia durante la costruzione nella nostra piattaforma di integrazione continua. È anche a disposizione del team di sicurezza per auditare il codice consegnato da un fornitore di servizi esterno.

Apprezziamo anche la possibilità di modificare ma anche di creare nuove regole per eliminare i falsi positivi.

Lo strumento è anche ricco in termini di indicatori e grafici. Fornisce una dashboard che rende facile tracciare i punteggi del livello di rischio dell'applicazione nel tempo e fornisce alla gestione rapporti completi. I dettagli delle vulnerabilità rilevate e la descrizione delle correzioni permettono ai team di sviluppo di correggere le vulnerabilità ma anche di apprendere sulla sicurezza del coding. Recensione raccolta e ospitata su G2.com.

Ad ogni audit, il numero di falsi positivi è elevato, ma questo è un difetto specifico degli strumenti SAST. La conoscenza delle specificità aziendali dell'applicazione è necessaria per personalizzare le impostazioni predefinite e eliminare i falsi positivi. Questo strumento è un passo nel processo di audit della sicurezza, deve essere completato da audit DAST e IAST. Recensione raccolta e ospitata su G2.com.

L'automazione è stata molto più facile con Checkmarx Recensione raccolta e ospitata su G2.com.

Anche se 1 test fallisce, mostra tutto come fallito Recensione raccolta e ospitata su G2.com.

Fornisce suggerimenti sui problemi tecnici correttamente. Recensione raccolta e ospitata su G2.com.

È un po' confuso con le basi di codice esistenti. Recensione raccolta e ospitata su G2.com.

Questo è uno strumento eccellente per scrivere codice sicuro e seguire le migliori pratiche. Mi piace che fornisca una panoramica dettagliata del problema nel tuo codice statico e offra anche modi per risolverlo. Attribuisce un profilo di rischio a ciascun problema e in questo modo puoi risolvere prima quelli con alta priorità. Recensione raccolta e ospitata su G2.com.

Il documento generato può a volte essere troppo prolisso e puoi perdere di vista quali problemi risolvere. A volte, anche se hai risolto tutti i problemi, rieseguire il rapporto non garantisce un conteggio pari a zero. Recensione raccolta e ospitata su G2.com.