L'alternative tout-en-un à GitHub Advanced Security

Nous utilisons Aikido Security depuis près d'un an maintenant, et il a joué un rôle essentiel dans la gestion de nos vulnérabilités grâce à son référentiel robuste et à ses capacités d'analyse des conteneurs. Le processus d'installation a été incroyablement facile, nous permettant de démarrer en quelques minutes en tirant parti d'une connexion facile avec Gitlab.

L'intégration d'Aikido avec Slack a été particulièrement bénéfique, nous fournissant des alertes opportunes et des rapports d'état hebdomadaires directement dans nos canaux Slack. Cette intégration a rationalisé notre flux de travail, garantissant que nous restons au fait des problèmes de sécurité sans bruit inutile.

L'équipe d'assistance a été exceptionnelle, toujours réactive et serviable.

Dans l'ensemble, nous recommandons vivement Aikido comme outil de gestion des vulnérabilités logicielles.

Aikido a été rapide et facile à déployer et délivre des alertes claires et pertinentes sans ajouter de complexité. Il connecte plusieurs outils de sécurité, ce qui rend leur utilisation transparente et plus efficace.

Il dispose de toutes les intégrations nécessaires, couvre les besoins de sécurité clés tels que SAST, les conteneurs et les scans d'infrastructure, et le tri automatique avec le silencieux intelligent change la donne. L'interface utilisateur est intuitive, le support a été extrêmement réactif et les prix sont justes. J'apprécie également leur participation à la communauté open-source.

Dans l'ensemble, il nous aide à garder une longueur d'avance sur les problèmes de sécurité avec un minimum d'efforts.

La plateforme se concentre sur une seule chose : augmenter la maturité de la posture de sécurité de votre entreprise sans avoir à dépenser beaucoup d'efforts dans l'intégration et le triage des faux positifs. Elle est simple à intégrer et à adopter pour une petite équipe de startup qui n'a pas beaucoup de bande passante mais qui veut quand même s'améliorer à InfoSecReview collecté par et hébergé sur G2.com.

Il propose tout, de la numérisation dans le nuage à la numérisation des dépôts, en passant par la gestion des licences, la numérisation des conteneurs, etc.

Aikido nous aide à automatiser à la fois la conformité et la sécurité. Sans Aikido, nous passerions beaucoup plus de temps à mettre en place des outils pour avoir une expérience similaire.

L'équipe se réjouit de savoir que l'Aïkido fonctionne en arrière-plan pour s'assurer qu'il n'y a pas d'oubli dans les mesures de sécurité, qu'il s'agisse de l'infrastructure ou des dépendances.

L'équipe est très réactive en ce qui concerne les retours d'information et procède très rapidement à l'itération.

Comparé à des concurrents bien connus comme Snyk, Aikido est beaucoup plus abordable, plus complet et surtout beaucoup plus efficace pour présenter les vulnérabilités qui atteignent réellement vos systèmes. Il utilise de nombreuses bibliothèques open source populaires pour analyser votre code, ainsi que des bibliothèques propriétaires, ce qui vous donne un bon mélange.

Nous cherchions une alternative moins chère à Snyk et Aikido remplit ce rôle de manière fantastique. Un bon logiciel, une interface facile à utiliser et, surtout, une grande facilité à obtenir des informations en retour.

Tout a été très simple à mettre en place et l'intégration des membres de l'équipe a été un jeu d'enfant.

L'Aikido fait un excellent travail en filtrant le bruit produit par les scanners standard.

Ils intègrent un ensemble de techniques d'analyse dans leur offre, ce qui permet de vérifier facilement la sécurité de l'ensemble de notre pile.

Ils sont très réactifs et orientés vers le client.

L'aïkido est très facile à mettre en œuvre, en moins de 10 minutes nous avons eu notre premier rapport.

Les rapports sont très précis et mentionnent toutes les informations nécessaires pour que nos développeurs puissent facilement planifier et mettre à jour le système.

Nous avons contacté l'assistance pour un problème mineur et nous avons reçu une réponse en moins de 4 heures.

Aujourd'hui, nous utilisons l'Aïkido au moins une fois par semaine pour vérifier s'il y a de nouvelles améliorations à apporter.

Aikido fournit une solution complète pour surveiller et gérer les problèmes de sécurité à travers le code source, les dépendances, les conteneurs et l'infrastructure. C'est incroyablement facile à mettre en place, et leur support client est très réactif via Slack. Notre équipe d'ingénieurs s'appuie quotidiennement sur Aikido pour trier les nouvelles menaces potentielles, et son intégration avec Linear aide à rationaliser notre processus de développement.

Aikido est une solution hautement évolutive et facile à utiliser, qui regroupe plusieurs contrôles en un seul endroit et s'intègre de manière transparente avec les IDE et les pipelines CI/CD. L'équipe de support est réactive et a procédé à des ajustements rapides dans notre environnement. De plus, elle filtre efficacement les alertes fausses positives évidentes, ce qui nous a permis d'économiser de nombreux MD.

J'aime beaucoup la discrétion de leur service. Il s'agit d'une application web où vous enregistrez vos dépôts de code, conteneurs, IaC,... et ils les analysent régulièrement en indiquant les problèmes qu'ils ont trouvés via l'analyse statique. Il y a aussi une intégration pour créer facilement/automatiquement des actions de suivi (tickets). L'application est géniale, vous êtes rapidement opérationnel.

Parfois, vous avez besoin d'aide, et c'est très bien ainsi (même s'il s'agit d'une aide technique).

L'UI/UX d'Aikido Security est incroyable, ce qui en fait l'un des rares outils sur le marché qui ne nécessite pas beaucoup de lecture pour l'intégrer et l'utiliser !

Nous utilisons Aikido Security depuis plusieurs mois maintenant, et je peux dire en toute confiance qu'il a transformé la façon dont nous gérons et atténuons les risques de sécurité au sein de notre organisation. Dès le premier jour, le processus d'intégration a été transparent, et l'interface intuitive de la plateforme a rendu son intégration à notre infrastructure existante incroyablement facile.

Ce qui distingue vraiment Aikido, c'est son approche proactive d'une couverture complète. Les alertes en temps réel nous donnent un avantage certain, en nous aidant à anticiper les problèmes de sécurité potentiels. L'équipe d'assistance est également de premier ordre. Chaque fois que nous avons eu une question ou que nous avons eu besoin d'aide, leur réponse a été rapide et complète.

Si vous êtes à la recherche d'une solution de sécurité complète, fiable et avant-gardiste, je vous recommande vivement Aikido Security. C'est une solution qui change la donne pour toute organisation soucieuse de sa sécurité.

Il s'intègre à tous les services que nous utilisons et recherche parfaitement les problèmes de sécurité et les meilleures pratiques. Les ressources fournies pour résoudre les problèmes sont également très utiles. Nous avons également intégré Aikido à notre Slack afin d'être immédiatement informés des nouveaux problèmes.

L'installation a été très facile et les guides fournis sont à jour. Le support est très rapide et a pu répondre à toutes mes questions en quelques minutes.

Aikido intègre divers outils de sécurité open source tels que Trivy et zaproxy dans un tableau de bord simple d'utilisation où les faux positifs et les doublons sont supprimés. L'équipe répond rapidement aux demandes et explique clairement pourquoi certains résultats ne sont pas affichés. Nous sommes très heureux de ne pas avoir à intégrer tous ces outils nous-mêmes, car des experts en sécurité font ce travail à notre place.

Aikido nous a permis de mettre en place un processus de sécurité dès la conception, rapidement et sans heurts. Mon équipe adore l'intégration avec Jira et le fait qu'il s'agisse d'un outil adapté à leurs besoins d'ingénieurs (pas d'experts en sécurité), ni plus ni moins. Travailler avec l'équipe d'Aikido a été formidable, à la fois en nous soutenant dans le processus de sélection et en recevant nos commentaires - ce qui se traduit souvent par un développement rapide de nouvelles fonctionnalités !

Compte tenu du prix abordable pour moi, c'est un choix judicieux pour toute entreprise de petite ou moyenne taille.

Notre organisation a mis en place Aikido comme application principale de sécurité des applications pour prendre en charge SCA, SAST, Container/Secret Scanning au sein de notre base de code. Dans l'ensemble, nous sommes très satisfaits des performances et de la facilité d'utilisation d'Aikido. Le déploiement a été rapide et facile grâce à l'intégration de Bitbucket Cloud.

Je pense que les caractéristiques d'Aikido qui changent la donne sont la capacité d'auto-ignorement et l'analyse de l'accessibilité. Cela permet à notre équipe de développement de gagner du temps en triant les faux positifs et en donnant la priorité aux problèmes qui doivent être traités rapidement.

Le soutien que nous avons reçu de l'équipe d'Aïkido a été de premier ordre.

Pour moi, la caractéristique principale d'Aikido Security est sa facilité d'utilisation. La grande variété de compatibilités de la plateforme permet une intégration transparente dans notre pile technologique avec un minimum d'effort, surtout si l'on compare avec la configuration de plusieurs solutions open-source séparées. J'aimerais également saluer l'assistance et les conseils exceptionnels de leur équipe. Ils comprennent vraiment nos besoins et nous avons intégré de manière transparente leurs améliorations dans notre flux de travail agile. Nos sprints hebdomadaires sont devenus plus robustes grâce à leur contribution, ce qui garantit la sécurité de notre plateforme. De plus, Aikido encourage l'adoption des meilleures pratiques de sécurité, le transformant d'un simple outil à un partenaire dans notre stratégie de sécurité.

Outil complet ! il analyse les dépôts de code et les nuages qui vous permettent d'avoir un aperçu de votre application dans son ensemble. Les rapports sont très utiles pour les personnes moins techniques.

Leur transparence, leur facilité d'utilisation, ils améliorent leur outil en permanence.

Prix abordable avec des résultats exceptionnels. Les concurrents typiques ont des prix élevés qui s'échelonnent en fonction du nombre de repo / nombre d'instances en cours d'exécution.

L'aïkido nous aide à garder une longueur d'avance. Il nous informe sur les responsabilités possibles et engage l'ensemble de l'équipe d'ingénieurs.

Au fur et à mesure que votre équipe et la complexité de votre application augmentent et changent, vous vous retrouvez dans l'incapacité de surveiller tous les différents aspects de la sécurité de votre base de code. Les outils que vous obtenez des fournisseurs de Cloud et de Github (bots) sont puissants, mais ils fournissent encore un autre signal de bruit, sont tous distribués et ne concernent qu'un aspect spécifique de la sécurité de votre application. D'autres outils DiY pour surveiller des aspects spécifiques prennent du temps à installer et à maintenir. Aikido est rapidement mis en place et regroupe joliment ces informations d'une manière cohérente, en fournissant ces informations et les outils pour les passer au peigne fin.

Il est intéressant qu'il puisse également être exécuté en CI, de sorte que vous puissiez détecter les problèmes à un stade précoce, et qu'il s'intègre bien avec Vanta pour aider dans les efforts liés à la conformité.

Aikido offre la configuration la plus facile de tous les outils de ce type que j'ai testés jusqu'à présent. Je l'ai utilisé avec l'intégration Gitlab et il a reconnu tous nos dépôts. Les avertissements de sécurité qu'il fournit sont presque toujours corrects et les avertissements non valides peuvent facilement être mis en sourdine, ce qui lui permet d'apprendre. Il a même trouvé des problèmes que notre logiciel précédent ne pouvait pas trouver.

Aikido Security est très facile à installer et fournit ses premiers résultats en quelques minutes. Il combine toutes les analyses de sécurité essentielles telles que l'analyse de repo, la sécurité du cloud, les fuites d'identifiants, ... dans un package facile à utiliser par n'importe quelle équipe de développement.

Aikido a joué un rôle déterminant dans la sécurisation de notre application. La plateforme s'intègre facilement avec les pipelines CI/CD et d'autres outils de sécurité, facilitant ainsi un processus de gestion des vulnérabilités plus rationnel.

Aikido est principalement basé sur des outils déjà disponibles, ce qui permet de reproduire les fonctionnalités techniques de base qu'il offre. Cela signifie qu'il n'introduit pas de nouvelles fonctions d'analyse de la sécurité. Ils sont également très ouverts à ce sujet en fournissant des références sur la façon et l'outil avec lequel une certaine découverte a été trouvée.

Pour notre cas d'utilisation spécifique, je pense que la force d'Aikido réside dans d'autres domaines, principalement dans le traitement des faux positifs et dans la fourniture d'une plateforme facile à utiliser pour avoir une compréhension complète de votre situation en matière de sécurité.

Pour traiter les faux positifs, il faut prendre en compte des facteurs tels que l'environnement (dev/prod) et la présence ou non de la fonction ou de l'élément vulnérable dans votre base de code. Si nous devions développer nos propres outils de sécurité en utilisant des pipelines CI/CD ou quelque chose de comparable, nous serions confrontés à de nombreuses fausses alertes chaque semaine, ce qui nécessiterait un examen manuel.

Nos équipes ont été en mesure de déployer rapidement et de tirer profit d'Aikido alors que notre solution précédente était bruyante et encombrante. Le fait que nous obtenions toute la couverture de code dont nous avons besoin avec SAST+, SCA, IaC, Secrets Detection, Licensing, etc.

Le produit tout-en-un est incroyable et permet à nos équipes d'ingénieurs d'identifier facilement les problèmes et de les résoudre rapidement. L'autre caractéristique majeure du tri automatique a permis à nos équipes de gagner beaucoup de temps. Le fait de nous dire si nous utilisons réellement ces bibliothèques ou certains modules dans les bibliothèques et de les exclure s'ils ne sont pas pertinents est très important pour nous.

Cela permet à notre entreprise de se concentrer sur la résolution des problèmes critiques, d'ignorer ceux qui ne sont pas pertinents et de fournir des produits à nos clients.

Aikido Security se distingue par sa capacité à fournir des informations de sécurité complètes et exploitables de manière conviviale. J'ai été impressionné par la rapidité et la fluidité de son intégration dans les référentiels BitBucket, GitLab et GitHub existants, et la simplicité de connexion à notre environnement cloud (Google Cloud dans ce cas) a été remarquable. L'un des points forts d'Aikido est sa capacité à couper à travers le bruit et à fournir des vulnérabilités importantes et exploitables au lieu de vous inonder de problèmes insignifiants ou de faux positifs.

J'apprécie beaucoup Aikido Security en raison de son expérience utilisateur claire, qui vous permet d'identifier et de suivre rapidement les problèmes de sécurité. En quelques clics, vous pouvez l'intégrer de manière transparente dans vos dépôts GitLab existants et commencer à travailler. L'une des caractéristiques les plus remarquables pour moi est la communication des nouveaux problèmes de sécurité par le biais de plusieurs canaux, y compris les mises à jour par courrier électronique.

Il a été très facile de connecter notre organisation GitHub et notre environnement cloud (AWS dans notre cas).

Après la connexion, Aikido commence immédiatement à les analyser et vous donne une liste de problèmes/vulnérabilités potentiels à vérifier. Les vérifications sont très larges : vulnérabilités des paquets, secrets engagés, en-têtes de sécurité des serveurs web, bibliothèques vulnérables dans les conteneurs, ...

Avant Aikido, nous utilisions les problèmes de sécurité de GitHub, mais dans la plupart des cas, les paquets vulnérables étaient des dépendances de développement et n'étaient donc pas utilisés en production. Aikido s'affranchit de ce bruit et nous fournit des vulnérabilités exploitables.

J'aime beaucoup l'analyse de l'informatique en nuage, car il est facile de commettre des erreurs lors de la mise en place de l'infrastructure (ainsi que lors de la maintenance ou des mises à niveau).

La possibilité de voir les problèmes/vulnérabilités dans une seule liste (par rapport à GitHub) est également très utile.

En tant que directeur technique, l'adoption d'une plateforme comme Aikido devrait aller de soi. Une fuite de données ou un piratage pourrait vous mettre sur la paille.

Aikido a joué un rôle déterminant dans la sécurisation de notre application. La plateforme s'intègre facilement avec les pipelines CI/CD et d'autres outils de sécurité, facilitant ainsi un processus de gestion des vulnérabilités plus rationnel.

J'apprécie beaucoup Aikido Security en raison de son expérience utilisateur claire, qui vous permet d'identifier et de suivre rapidement les problèmes de sécurité. En quelques clics, vous pouvez l'intégrer de manière transparente dans vos dépôts GitLab existants et commencer à travailler. L'une des caractéristiques les plus remarquables pour moi est la communication des nouveaux problèmes de sécurité par le biais de plusieurs canaux, y compris les mises à jour par courrier électronique.

Leur transparence, leur facilité d'utilisation, ils améliorent leur outil en permanence.

Prix abordable avec des résultats exceptionnels. Les concurrents typiques ont des prix élevés qui s'échelonnent en fonction du nombre de repo / nombre d'instances en cours d'exécution.

L'aïkido nous aide à garder une longueur d'avance. Il nous informe sur les responsabilités possibles et engage l'ensemble de l'équipe d'ingénieurs.

Aikido offre la configuration la plus facile de tous les outils de ce type que j'ai testés jusqu'à présent. Je l'ai utilisé avec l'intégration Gitlab et il a reconnu tous nos dépôts. Les avertissements de sécurité qu'il fournit sont presque toujours corrects et les avertissements non valides peuvent facilement être mis en sourdine, ce qui lui permet d'apprendre. Il a même trouvé des problèmes que notre logiciel précédent ne pouvait pas trouver.

Aikido Security se distingue par sa capacité à fournir des informations de sécurité complètes et exploitables de manière conviviale. J'ai été impressionné par la rapidité et la fluidité de son intégration dans les référentiels BitBucket, GitLab et GitHub existants, et la simplicité de connexion à notre environnement cloud (Google Cloud dans ce cas) a été remarquable. L'un des points forts d'Aikido est sa capacité à couper à travers le bruit et à fournir des vulnérabilités importantes et exploitables au lieu de vous inonder de problèmes insignifiants ou de faux positifs.

Aikido nous a permis de mettre en place un processus de sécurité dès la conception, rapidement et sans heurts. Mon équipe adore l'intégration avec Jira et le fait qu'il s'agisse d'un outil adapté à leurs besoins d'ingénieurs (pas d'experts en sécurité), ni plus ni moins. Travailler avec l'équipe d'Aikido a été formidable, à la fois en nous soutenant dans le processus de sélection et en recevant nos commentaires - ce qui se traduit souvent par un développement rapide de nouvelles fonctionnalités !

Compte tenu du prix abordable pour moi, c'est un choix judicieux pour toute entreprise de petite ou moyenne taille.

L'UI/UX d'Aikido Security est incroyable, ce qui en fait l'un des rares outils sur le marché qui ne nécessite pas beaucoup de lecture pour l'intégrer et l'utiliser !

Pour moi, la caractéristique principale d'Aikido Security est sa facilité d'utilisation. La grande variété de compatibilités de la plateforme permet une intégration transparente dans notre pile technologique avec un minimum d'effort, surtout si l'on compare avec la configuration de plusieurs solutions open-source séparées. J'aimerais également saluer l'assistance et les conseils exceptionnels de leur équipe. Ils comprennent vraiment nos besoins et nous avons intégré de manière transparente leurs améliorations dans notre flux de travail agile. Nos sprints hebdomadaires sont devenus plus robustes grâce à leur contribution, ce qui garantit la sécurité de notre plateforme. De plus, Aikido encourage l'adoption des meilleures pratiques de sécurité, le transformant d'un simple outil à un partenaire dans notre stratégie de sécurité.

L'Aikido fait un excellent travail en filtrant le bruit produit par les scanners standard.

Ils intègrent un ensemble de techniques d'analyse dans leur offre, ce qui permet de vérifier facilement la sécurité de l'ensemble de notre pile.

Ils sont très réactifs et orientés vers le client.

Comparé à des concurrents bien connus comme Snyk, Aikido est beaucoup plus abordable, plus complet et surtout beaucoup plus efficace pour présenter les vulnérabilités qui atteignent réellement vos systèmes. Il utilise de nombreuses bibliothèques open source populaires pour analyser votre code, ainsi que des bibliothèques propriétaires, ce qui vous donne un bon mélange.

Aikido intègre divers outils de sécurité open source tels que Trivy et zaproxy dans un tableau de bord simple d'utilisation où les faux positifs et les doublons sont supprimés. L'équipe répond rapidement aux demandes et explique clairement pourquoi certains résultats ne sont pas affichés. Nous sommes très heureux de ne pas avoir à intégrer tous ces outils nous-mêmes, car des experts en sécurité font ce travail à notre place.

Nous cherchions une alternative moins chère à Snyk et Aikido remplit ce rôle de manière fantastique. Un bon logiciel, une interface facile à utiliser et, surtout, une grande facilité à obtenir des informations en retour.

Tout a été très simple à mettre en place et l'intégration des membres de l'équipe a été un jeu d'enfant.

L'aïkido est très facile à mettre en œuvre, en moins de 10 minutes nous avons eu notre premier rapport.

Les rapports sont très précis et mentionnent toutes les informations nécessaires pour que nos développeurs puissent facilement planifier et mettre à jour le système.

Nous avons contacté l'assistance pour un problème mineur et nous avons reçu une réponse en moins de 4 heures.

Aujourd'hui, nous utilisons l'Aïkido au moins une fois par semaine pour vérifier s'il y a de nouvelles améliorations à apporter.

Aikido est une solution hautement évolutive et facile à utiliser, qui regroupe plusieurs contrôles en un seul endroit et s'intègre de manière transparente avec les IDE et les pipelines CI/CD. L'équipe de support est réactive et a procédé à des ajustements rapides dans notre environnement. De plus, elle filtre efficacement les alertes fausses positives évidentes, ce qui nous a permis d'économiser de nombreux MD.

Nous utilisons Aikido Security depuis plusieurs mois maintenant, et je peux dire en toute confiance qu'il a transformé la façon dont nous gérons et atténuons les risques de sécurité au sein de notre organisation. Dès le premier jour, le processus d'intégration a été transparent, et l'interface intuitive de la plateforme a rendu son intégration à notre infrastructure existante incroyablement facile.

Ce qui distingue vraiment Aikido, c'est son approche proactive d'une couverture complète. Les alertes en temps réel nous donnent un avantage certain, en nous aidant à anticiper les problèmes de sécurité potentiels. L'équipe d'assistance est également de premier ordre. Chaque fois que nous avons eu une question ou que nous avons eu besoin d'aide, leur réponse a été rapide et complète.

Si vous êtes à la recherche d'une solution de sécurité complète, fiable et avant-gardiste, je vous recommande vivement Aikido Security. C'est une solution qui change la donne pour toute organisation soucieuse de sa sécurité.

Aikido nous aide à automatiser à la fois la conformité et la sécurité. Sans Aikido, nous passerions beaucoup plus de temps à mettre en place des outils pour avoir une expérience similaire.

L'équipe se réjouit de savoir que l'Aïkido fonctionne en arrière-plan pour s'assurer qu'il n'y a pas d'oubli dans les mesures de sécurité, qu'il s'agisse de l'infrastructure ou des dépendances.

L'équipe est très réactive en ce qui concerne les retours d'information et procède très rapidement à l'itération.

Aikido a été rapide et facile à déployer et délivre des alertes claires et pertinentes sans ajouter de complexité. Il connecte plusieurs outils de sécurité, ce qui rend leur utilisation transparente et plus efficace.

Il dispose de toutes les intégrations nécessaires, couvre les besoins de sécurité clés tels que SAST, les conteneurs et les scans d'infrastructure, et le tri automatique avec le silencieux intelligent change la donne. L'interface utilisateur est intuitive, le support a été extrêmement réactif et les prix sont justes. J'apprécie également leur participation à la communauté open-source.

Dans l'ensemble, il nous aide à garder une longueur d'avance sur les problèmes de sécurité avec un minimum d'efforts.

Nous utilisons Aikido Security depuis près d'un an maintenant, et il a joué un rôle essentiel dans la gestion de nos vulnérabilités grâce à son référentiel robuste et à ses capacités d'analyse des conteneurs. Le processus d'installation a été incroyablement facile, nous permettant de démarrer en quelques minutes en tirant parti d'une connexion facile avec Gitlab.

L'intégration d'Aikido avec Slack a été particulièrement bénéfique, nous fournissant des alertes opportunes et des rapports d'état hebdomadaires directement dans nos canaux Slack. Cette intégration a rationalisé notre flux de travail, garantissant que nous restons au fait des problèmes de sécurité sans bruit inutile.

L'équipe d'assistance a été exceptionnelle, toujours réactive et serviable.

Dans l'ensemble, nous recommandons vivement Aikido comme outil de gestion des vulnérabilités logicielles.

Outil complet ! il analyse les dépôts de code et les nuages qui vous permettent d'avoir un aperçu de votre application dans son ensemble. Les rapports sont très utiles pour les personnes moins techniques.

Nos équipes ont été en mesure de déployer rapidement et de tirer profit d'Aikido alors que notre solution précédente était bruyante et encombrante. Le fait que nous obtenions toute la couverture de code dont nous avons besoin avec SAST+, SCA, IaC, Secrets Detection, Licensing, etc.

Le produit tout-en-un est incroyable et permet à nos équipes d'ingénieurs d'identifier facilement les problèmes et de les résoudre rapidement. L'autre caractéristique majeure du tri automatique a permis à nos équipes de gagner beaucoup de temps. Le fait de nous dire si nous utilisons réellement ces bibliothèques ou certains modules dans les bibliothèques et de les exclure s'ils ne sont pas pertinents est très important pour nous.

Cela permet à notre entreprise de se concentrer sur la résolution des problèmes critiques, d'ignorer ceux qui ne sont pas pertinents et de fournir des produits à nos clients.

Il a été très facile de connecter notre organisation GitHub et notre environnement cloud (AWS dans notre cas).

Après la connexion, Aikido commence immédiatement à les analyser et vous donne une liste de problèmes/vulnérabilités potentiels à vérifier. Les vérifications sont très larges : vulnérabilités des paquets, secrets engagés, en-têtes de sécurité des serveurs web, bibliothèques vulnérables dans les conteneurs, ...

Avant Aikido, nous utilisions les problèmes de sécurité de GitHub, mais dans la plupart des cas, les paquets vulnérables étaient des dépendances de développement et n'étaient donc pas utilisés en production. Aikido s'affranchit de ce bruit et nous fournit des vulnérabilités exploitables.

J'aime beaucoup l'analyse de l'informatique en nuage, car il est facile de commettre des erreurs lors de la mise en place de l'infrastructure (ainsi que lors de la maintenance ou des mises à niveau).

La possibilité de voir les problèmes/vulnérabilités dans une seule liste (par rapport à GitHub) est également très utile.

En tant que directeur technique, l'adoption d'une plateforme comme Aikido devrait aller de soi. Une fuite de données ou un piratage pourrait vous mettre sur la paille.

Aikido Security est très facile à installer et fournit ses premiers résultats en quelques minutes. Il combine toutes les analyses de sécurité essentielles telles que l'analyse de repo, la sécurité du cloud, les fuites d'identifiants, ... dans un package facile à utiliser par n'importe quelle équipe de développement.

Notre organisation a mis en place Aikido comme application principale de sécurité des applications pour prendre en charge SCA, SAST, Container/Secret Scanning au sein de notre base de code. Dans l'ensemble, nous sommes très satisfaits des performances et de la facilité d'utilisation d'Aikido. Le déploiement a été rapide et facile grâce à l'intégration de Bitbucket Cloud.

Je pense que les caractéristiques d'Aikido qui changent la donne sont la capacité d'auto-ignorement et l'analyse de l'accessibilité. Cela permet à notre équipe de développement de gagner du temps en triant les faux positifs et en donnant la priorité aux problèmes qui doivent être traités rapidement.

Le soutien que nous avons reçu de l'équipe d'Aïkido a été de premier ordre.

Il s'intègre à tous les services que nous utilisons et recherche parfaitement les problèmes de sécurité et les meilleures pratiques. Les ressources fournies pour résoudre les problèmes sont également très utiles. Nous avons également intégré Aikido à notre Slack afin d'être immédiatement informés des nouveaux problèmes.

L'installation a été très facile et les guides fournis sont à jour. Le support est très rapide et a pu répondre à toutes mes questions en quelques minutes.

La plateforme se concentre sur une seule chose : augmenter la maturité de la posture de sécurité de votre entreprise sans avoir à dépenser beaucoup d'efforts dans l'intégration et le triage des faux positifs. Elle est simple à intégrer et à adopter pour une petite équipe de startup qui n'a pas beaucoup de bande passante mais qui veut quand même s'améliorer à InfoSecReview collecté par et hébergé sur G2.com.

Aikido est principalement basé sur des outils déjà disponibles, ce qui permet de reproduire les fonctionnalités techniques de base qu'il offre. Cela signifie qu'il n'introduit pas de nouvelles fonctions d'analyse de la sécurité. Ils sont également très ouverts à ce sujet en fournissant des références sur la façon et l'outil avec lequel une certaine découverte a été trouvée.

Pour notre cas d'utilisation spécifique, je pense que la force d'Aikido réside dans d'autres domaines, principalement dans le traitement des faux positifs et dans la fourniture d'une plateforme facile à utiliser pour avoir une compréhension complète de votre situation en matière de sécurité.

Pour traiter les faux positifs, il faut prendre en compte des facteurs tels que l'environnement (dev/prod) et la présence ou non de la fonction ou de l'élément vulnérable dans votre base de code. Si nous devions développer nos propres outils de sécurité en utilisant des pipelines CI/CD ou quelque chose de comparable, nous serions confrontés à de nombreuses fausses alertes chaque semaine, ce qui nécessiterait un examen manuel.

Il propose tout, de la numérisation dans le nuage à la numérisation des dépôts, en passant par la gestion des licences, la numérisation des conteneurs, etc.

Aikido fournit une solution complète pour surveiller et gérer les problèmes de sécurité à travers le code source, les dépendances, les conteneurs et l'infrastructure. C'est incroyablement facile à mettre en place, et leur support client est très réactif via Slack. Notre équipe d'ingénieurs s'appuie quotidiennement sur Aikido pour trier les nouvelles menaces potentielles, et son intégration avec Linear aide à rationaliser notre processus de développement.

J'aime beaucoup la discrétion de leur service. Il s'agit d'une application web où vous enregistrez vos dépôts de code, conteneurs, IaC,... et ils les analysent régulièrement en indiquant les problèmes qu'ils ont trouvés via l'analyse statique. Il y a aussi une intégration pour créer facilement/automatiquement des actions de suivi (tickets). L'application est géniale, vous êtes rapidement opérationnel.

Parfois, vous avez besoin d'aide, et c'est très bien ainsi (même s'il s'agit d'une aide technique).

Au fur et à mesure que votre équipe et la complexité de votre application augmentent et changent, vous vous retrouvez dans l'incapacité de surveiller tous les différents aspects de la sécurité de votre base de code. Les outils que vous obtenez des fournisseurs de Cloud et de Github (bots) sont puissants, mais ils fournissent encore un autre signal de bruit, sont tous distribués et ne concernent qu'un aspect spécifique de la sécurité de votre application. D'autres outils DiY pour surveiller des aspects spécifiques prennent du temps à installer et à maintenir. Aikido est rapidement mis en place et regroupe joliment ces informations d'une manière cohérente, en fournissant ces informations et les outils pour les passer au peigne fin.

Il est intéressant qu'il puisse également être exécuté en CI, de sorte que vous puissiez détecter les problèmes à un stade précoce, et qu'il s'intègre bien avec Vanta pour aider dans les efforts liés à la conformité.