Snyk

Snyk 提供静态应用程序安全测试（SAST）和软件组件分析（SCA）测试，以帮助您在软件开发生命周期中寻找、修复和监控安全问题。其广泛的功能旨在加快反馈循环，倾向于采用“左移”方法，而不是安全三明治反模式。作为今天可用的最佳安全平台之一，Snyk 之所以脱颖而出，是因为它能够识别更广泛的问题，而这主要得益于有专门的研究团队不断更新其漏洞数据库。 但是 Synk 仍有改进的空间：仪表板目前没有提供一个简便的方法从一个具体的可操作的信息中过滤一些多余繁杂的信息；根据语言生态系统的不同，基于 SCA 的集成可能与基于流水线的集成相比产生误报，因为 Snyk 必须猜测已解决的依赖关系；自动解决方案的成功性不一致；在高度监管的环境中，需要进行重大的集成投资，以实现适当的门控或建立软件物料清单。尽管存在这些缺点，我们的许多企业客户依然采用了 Snyk；我们自己也在 IT 部门中使用了它。

Snyk helps you find, fix and monitor known vulnerabilities in npm, Ruby, Python, Scala, Golang, .NET, PHP, Java and Docker dependency trees. When added to your build pipeline, Snyk continuously monitors and tests the library dependency tree against a hosted vulnerability database and suggests the minimal direct dependency version upgrade needed for remediation.