# Análisis de Herramientas



# Trivy (by Aqua Security)

##### Descripción

[Trivy](https://trivy.dev/latest/) es un escáner de seguridad todo en uno para contenedores, código, repositorios Git y más. Identifica vulnerabilidades (CVE), secretos expuestos y configuraciones erróneas.

##### Uso local

```
# Escanear una imagen Docker
trivy image nginx:latest

# Escanear archivos o repositorios
trivy fs .

# Escanear un repositorio remoto
trivy repo https://github.com/usuario/proyecto

```

##### Reportes

- Formatos: [JSON](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=parent%403.1.0.-,JSON,-Scanner), [SARIF](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=might%20be%20empty.-,SARIF,-Scanner) (para GitHub), [tabla](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=GitHub%20dependency%20snapshot-,Table%20(Default),-Scanner), [plantillas personalizadas](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=your%20GitHub%20repository.-,Template,-Scanner).
- Exportables a sistemas como [DefectDojo](https://trivy.dev/v0.50/ecosystem/reporting/).

##### Integración en CI/CD

- Ejecuta Trivy como [acción de GitHub](https://github.com/aquasecurity/trivy-action) para escanear la imagen del contenedor Docker en busca de vulnerabilidades. Puede detener el pipeline si encuentra vulnerabilidades críticas.

```
      - name: Generate Trivy Vulnerability Report
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: "fs"
          output: trivy-report.json
          format: json
          scan-ref: .
          exit-code: 0

```

##### Integraciones

- [GitHub](https://www.youtube.com/watch?app=desktop&v=GGWinWTHqCY).
- [Slack](https://aquasecurity.github.io/postee/v2.9.0/) (via Webhook).
- [Jira:](https://aquasecurity.github.io/postee/v2.8.4/blueprints/trivy-operator/) se puede automatizar la creación de tickets con scripts + API.
- Plane, Microsoft Teams: vía Webhooks o bots.
- VSCode: [extensión oficial](https://github.com/aquasecurity/trivy-vscode-extension) para escaneo local.
- DevSecOps: se puede integrar con [DefectDojo](https://defectdojo.com/), [Kubernetes Admission Controllers](https://devopstales.github.io/trivy-operator/2.4/functions/image-validator/).

##### UI

- Tiene una **UI web experimental** en el proyecto [Trivy Dashboard](https://github.com/locustbaby/trivy-ui).
- CLI amigable.

##### Licencia

- **Open source (Apache 2.0)**.
- Puede instalarse localmente o en máquinas virtuales gratis.

##### Facilidad de uso

- Muy fácil. Documentación clara y CLI muy intuitiva.

##### Cumplimiento con estándares

- **OWASP:** Detecta vulnerabilidades en dependencias alineadas al OWASP Top 10, especialmente el punto A06:2021 sobre componentes vulnerables.
- **NIST:** Compatible con NIST SP 800-53 (controles RA-5, SI-2) al detectar vulnerabilidades técnicas de forma automatizada.
- **ISO/IEC 27001:** Apoya el cumplimiento del control A.12.6.1 (gestión de vulnerabilidades técnicas).
- **CIS Benchmarks:** Escanea configuraciones de contenedores y Kubernetes contra benchmarks de seguridad del CIS.

# Grype + Syft (by Anchore)

##### Descripción

- [**Syft**](https://www.syftanalytics.com/): genera un SBOM (Software Bill of Materials).
- [**Grype**](https://anchore.com/opensource/): analiza el SBOM o imagen para encontrar CVEs.

##### Uso local

```
# Syft - generar SBOM
syft nginx:latest -o json > sbom.json

# Grype - escanear imagen
grype nginx:latest

# Escanear SBOM generado
grype sbom:sbom.json

```

##### Reportes

- JSON, table, CycloneDX, SPDX, SARIF.
- Puede exportarse a sistemas como [Sonatype](https://www.sonatype.com/), [DefectDojo](https://defectdojo.com/).

##### Integración en CI/CD

- Una [acción de GitHub](https://github.com/anchore/scan-action) para invocar el escáner Grype y devolver las vulnerabilidades encontradas, y opcionalmente fallar si se encuentra una vulnerabilidad con un nivel de gravedad configurable.

```
- name: Scan current project
  uses: anchore/scan-action@v6
  with:
    path: "."
```

##### Integraciones

- GitHub (SARIF reports en Security tab).
- Slack, Teams, Jira (mediante integraciones manuales/API).
- VSCode: No oficial, pero puede usarse vía terminal.

##### UI

- No posee UI propia.
- Compatible con Anchore Enterprise UI (versión paga).

##### Licencia

- **Open source (Apache 2.0)**.
- Funciona perfectamente en VMs locales.

##### Facilidad de uso

- Fácil. CLI clara, requiere instalación de dos binarios (`syft`, `grype`).

##### Cumplimiento con estándares:

- **OWASP:** Ayuda a mitigar riesgos del OWASP Top 10 relacionados con componentes desactualizados o vulnerables.
- **NIST:** Compatible con NIST SP 800-218 (SSDF) por generar y analizar SBOMs; se alinea con controles RA-5, SI-2 de NIST 800-53.
- **ISO/IEC 27001:** Contribuye a controles como A.8.1.1 (inventario de activos) y A.12.6.1 (vulnerabilidades técnicas).
- **CIS Benchmarks:** Aplica indirectamente cuando se usa en conjunto con políticas de seguridad de configuración.

# SonarQube

##### Descripción

[SonarQube ](https://www.sonarsource.com/products/sonarqube/)es una herramienta de análisis estático de código para detectar bugs, vulnerabilidades, y code smells en más de 25 lenguajes.

##### Uso local

```
# Análisis local con CLI
sonar-scanner -Dsonar.projectKey=myproject -Dsonar.sources=. -Dsonar.host.url=http://localhost:9000

```

##### Reportes

- Interfaz web con dashboards.
- Muestra cobertura de código, vulnerabilidades, duplicaciones, etc.

##### Integración en CI/CD

- Plugins para [GitHub Actions](https://github.com/SonarSource/sonarqube-scan-action).
- DevSecOps: integración con calidad de código.

```
    - name: SonarQube Scan
      uses: SonarSource/sonarqube-scan-action@<action version> # Ex: v4.1.0, See the latest version at https://github.com/marketplace/actions/official-sonarqube-scan
      env:
        SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
        SONAR_HOST_URL: ${{ vars.SONAR_HOST_URL }}
```

##### Integraciones

- [GitHub](https://docs.sonarsource.com/sonarqube-server/10.5/devops-platform-integration/github-integration/adding-sonarqube-analysis-to-your-workflow/#:~:text=Actions%20Checkout%20README%20.-,Failing%20the%20workflow%20when%20the%20quality%20gate%20fails,The%20default%20is%20300%20seconds.).
- [Jira:](https://marketplace.atlassian.com/apps/1217471/sonarqube-connector-for-jira) integraciones para crear tickets automáticamente.
- [Slack](https://knowledge.digicert.com/constellix/sonar-monitoring/slack-integration#:~:text=Before%20you%20configure%20Slack%20Integration,8.), [Microsoft Teams:](https://github.com/toilatester/sonar-microsoft-teams-notifier) plugins para notificaciones.
- VSCode: [extensión oficial.](https://docs.sonarsource.com/sonarqube-for-ide/vs-code/getting-started/requirements/#:~:text=most%20recent%20releases.-,Overview,%2D64%20(Apple%20Silicon%20Macs))

##### UI

- Sí, una de las mejores UI del sector.

##### Licencia

- Versión **Community (gratis, OSS)**.
- Versiones Enterprise y Developer con más reglas/lenguajes.
- Puede instalarse en VMs (Docker o instalación manual).

##### Facilidad de uso

- Moderado. Requiere configuración inicial y escáner. UI muy intuitiva.

##### Cumplimiento con estándares:

- **OWASP:** Incluye reglas específicas alineadas con OWASP Top 10 (inyecciones, XSS, autenticación insegura, etc.).
- **NIST:** Compatible con NIST CSF y NIST 800-53 al apoyar revisiones de código (controles SA-11, RA-5).
- **ISO/IEC 27001:** Cumple con controles como A.14.2.5 (principios de desarrollo seguro) y A.14.2.8 (pruebas técnicas).
- **PCI DSS:** Cumple con requisitos de análisis de código seguro como el 6.3.2.

# OWASP ZAP

##### Descripción

[OWASP ZAP](https://www.zaproxy.org/) es una herramienta de escaneo de seguridad para aplicaciones web, mantenida por OWASP. Detecta vulnerabilidades como XSS, SQLi, etc.

##### Uso local

```
# Interfaz gráfica
zap.sh

# Escaneo desde CLI
zap-baseline.py -t http://localhost:8080 -r reporte.html

```

##### Reportes

- HTML, XML, Markdown.
- Exportables a [JIRA](https://kasunbalasooriya.medium.com/an-add-on-for-owasp-zap-to-export-alerts-of-a-web-application-as-issues-to-jira-891ea1698fbf), [DefectDojo](https://www.oreilly.com/library/view/practical-security-automation/9781789802023/f4257a2e-c9e4-414b-8bde-d03db248cee7.xhtml), etc.

##### Integración en CI/CD

- Una [acción de GitHub](https://github.com/zaproxy/action-baseline) para ejecutar el ZAP [Baseline scan](https://www.zaproxy.org/docs/docker/baseline-scan/) para encontrar vulnerabilidades en su aplicación web.

```
      - name: ZAP Scan
        uses: zaproxy/action-baseline@v0.14.0
        with:
          token: ${{ secrets.GITHUB_TOKEN }}
          docker_name: 'ghcr.io/zaproxy/zaproxy:stable'
          target: 'https://www.zaproxy.org'
          rules_file_name: '.zap/rules.tsv'
          cmd_options: '-a'
```

##### Integraciones

- GitHub, Jira (plugin).
- [Slack](https://github.com/zakrush/zap_api_scripts), Teams: notificaciones mediante scripting.
- VSCode: sin integración directa, pero puede abrirse con CLI.

##### UI

- GUI muy completa (modo GUI, CLI y daemon).

##### Licencia

- **Open source (Apache 2.0)**.
- Disponible para máquinas virtuales, también en Docker.

##### Facilidad de uso

- Moderado. Ideal para usuarios con conocimiento en pruebas de seguridad web.

##### Cumplimiento con estándares:

- **OWASP:** Está alineado directamente con el OWASP Top 10, siendo una herramienta oficial de la fundación.
- **NIST:** Se alinea con NIST 800-53 (RA-5: escaneo de vulnerabilidades, CA-7: monitoreo continuo).
- **ISO/IEC 27001:** Permite cumplir con controles como A.12.6.1 (gestión de vulnerabilidades) y A.14.2.8 (pruebas técnicas).
- **PCI DSS:** Soporta los requerimientos de pruebas de seguridad continuas (requisito 11.2).

# Semgrep

##### Descripción

[Semgrep](https://semgrep.dev/) es un escáner de análisis estático que detecta vulnerabilidades, errores de seguridad, problemas de estilo, etc., mediante reglas personalizables.

##### Uso local

```
# Escaneo básico
semgrep scan --config=p/ci .

# Escaneo con reglas personalizadas
semgrep scan --config=rules/mi_regla.yml .
```

##### Reportes

- [JSON,](https://semgrep.dev/docs/getting-started/cli-oss#sarif:~:text=results%20to%20a-,JSON%20file,-%3A) [JUnit](https://semgrep.dev/docs/cli-reference#:~:text=post%20to%20URL.-,%2D%2Djunit%2Dxml,-Output%20results%20in), [SARIF](https://semgrep.dev/docs/getting-started/cli-oss#sarif:~:text=results%20to%20a-,SARIF%20file%3A,-semgrep%20scan%20%2D%2Dsarif).
- Integración con [GitHub Security tab](https://github.com/j3ssie/sample-semgrep-ci#:~:text=findings%20in%20the-,GitHub%20Security%20tab,-.).

##### Integración en CI/CD

- [Semgrep Action](https://github.com/actions-marketplace-validations/returntocorp_semgrep-action) ejecuta Semgrep en entornos de CI. También puede conectarse a la aplicación Semgrep para configurar reglas y revisar hallazgos en una interfaz web.

```
- uses: returntocorp/semgrep-action@v1
```

##### Integraciones

- [GitHub](https://semgrep.dev/docs/kb/semgrep-ci/github-repository-rulesets-semgrep#:~:text=Use%20GitHub%20repository%20rulesets%20to%20quickly%20implement%20Semgrep%20scans%20across,feature%20was%20called%20required%20workflows.), [Jira](https://semgrep.dev/docs/semgrep-appsec-platform/jira#:~:text=Semgrep%20provides%20an%20API%20endpoint,to%20the%20Jira%20API%20documentation.) (con integración pagada o scripts).
- [Slack](https://semgrep.dev/docs/semgrep-appsec-platform/slack-notifications#:~:text=The%20Semgrep%20Slack%20app%20enables,see%20findings%20without%20switching%20environments.), Teams, Plane.
- VSCode: [extensión oficial](https://semgrep.dev/docs/extensions/semgrep-vs-code#:~:text=Semgrep's%20Visual%20Studio%20Code%20(VS,whenever%20you%20open%20a%20file) para ejecutar reglas locales.

##### UI

- Dashboard web gratuito (requiere cuenta).

##### Licencia

- Versión gratuita OSS.
- Versión empresarial con dashboard avanzado.

##### Facilidad de uso

- Fácil. Reglas YAML simples de entender.

##### Cumplimiento con estándares:

- **OWASP:** Las reglas pueden alinearse al OWASP Top 10, detectando problemas de seguridad en el código fuente.
- **NIST:** Compatible con el marco NIST CSF y NIST 800-53, específicamente en prácticas de desarrollo seguro (SA-11).
- **ISO/IEC 27001:** Apoya controles como A.14.2.5 (control del desarrollo de software) y A.14.2.8 (pruebas técnicas).
- **SOC 2 / PCI DSS:** Puede integrarse en pipelines para cumplimiento de requisitos de seguridad de código seguro.

# Checkov

##### Descripción

[Checkov](https://www.checkov.io/) es un escáner de infraestructura como código (IaC) que detecta configuraciones inseguras en Terraform, CloudFormation, Kubernetes, etc.

##### Uso local

```
checkov -d .    # Escanea el directorio actual
```

##### Reportes

- [CLI](https://www.checkov.io/2.Basics/CLI%20Command%20Reference.html), [JSON](https://www.checkov.io/7.Scan%20Examples/Terraform%20Plan%20Scanning.html), [JUnit](https://www.checkov.io/8.Outputs/JUnit%20XML.html), [SARIF](https://www.checkov.io/8.Outputs/SARIF.html#:~:text=SARIF%20(Static%20Analysis%20Results%20Interchange,of%20the%20code%20scanning%20experience.).
- Puede integrarse con plataformas como [Prisma Cloud](https://docs.prismacloud.io/en/enterprise-edition/content-collections/application-security/get-started/connect-code-and-build-providers/ci-cd-runs/add-checkov) o [DefectDojo](https://docs.defectdojo.com/en/connecting_your_tools/parsers/file/checkov/#:~:text=Sample%20Scan%20Data-,File%20Types,%221.0.467%22%20%7D%20%7D).

##### Integración en CI/CD

- Esta [acción de GitHub](https://github.com/bridgecrewio/checkov-action) ejecuta [Checkov](https://github.com/bridgecrewio/checkov) en infraestructura como código, paquetes de código abierto, imágenes de contenedores y configuraciones de CI/CD para identificar configuraciones incorrectas, vulnerabilidades y problemas de cumplimiento de licencias.

```

      - name: Run Checkov action
        id: checkov
        uses: bridgecrewio/checkov-action@master
        with:
          directory: .
          soft_fail: true
          download_external_modules: true
          github_pat: ${{ secrets.GH_PAT }}
        env:
          GITHUB_OVERRIDE_URL: true  # optional: this can be used to instruct the action to override the global GIT config to inject the PAT to the URL

```

##### Integraciones

- [GitHub](https://www.checkov.io/7.Scan%20Examples/Github.html#:~:text=Checkov%20supports%20the%20evaluation%20of,defined%2C%20having%20SSO%20and%20more.),[ Jira (API)](https://developer.atlassian.com/cloud/jira/platform/rest/v2/intro/#about),[ Slack](https://medium.com/akumosolutions-devops/integrating-custom-yaml-policies-in-checkov-with-jenkins-and-slack-3438cefd2c54).
- VSCode: [extensión oficial](https://github.com/bridgecrewio/checkov-vscode) para resaltar problemas en tiempo real.

##### UI

- Checkov OSS no tiene UI propia, pero [Prisma Cloud](https://www.paloaltonetworks.es/prisma/cloud) (versión paga) sí.

##### Licencia

- **Open source (Apache 2.0)**.
- Instalación simple en máquinas virtuales.

##### Facilidad de uso

- Muy fácil. CLI sencilla y reglas predefinidas muy completas.

##### Cumplimiento con estándares:

- **OWASP:** Apoya indirectamente la mitigación de riesgos del OWASP Top 10 para aplicaciones cloud-native.
- **NIST:** Compatible con controles de NIST 800-53 (por ejemplo, CM-6: configuración, SC-12: seguridad criptográfica).
- **ISO/IEC 27001:** Apoya la seguridad en configuración de infraestructura (controles A.12.1.2 y A.14.1.3).
- **CIS Benchmarks:** Checkov valida configuraciones directamente contra benchmarks CIS para AWS, Azure, GCP, Kubernetes.

# Snyk

##### Descripción

[Snyk](https://snyk.io/es/) es una herramienta para detectar vulnerabilidades en dependencias, contenedores, código IaC y código fuente.

##### Uso local

```
snyk test     # Escaneo de dependencias
snyk code test  # Escaneo de código fuente
```

##### Reportes

- [JSON](https://snyk.io/blog/getting-the-most-out-of-snyk-test/), [CLI](https://docs.snyk.io/cli-ide-and-ci-cd-integrations/snyk-cli), [UI Web](https://docs.snyk.io/getting-started/snyk-web-ui).
- Excelente presentación en su portal online.

##### Integración en CI/CD

- Un conjunto de acciones de GitHub para usar [Snyk](https://github.com/snyk/actions) y buscar vulnerabilidades en tus proyectos de GitHub. Se requiere una acción diferente según el lenguaje o la herramienta de compilación que uses.

```
      - name: Run Snyk to check for vulnerabilities
        uses: snyk/actions/node@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          command: monitor
```

##### Integraciones

- [GitHub (Security Tab](https://github.com/snyk/user-docs/blob/main/docs/scm-ide-and-ci-cd-integrations/snyk-ci-cd-integrations/github-actions-for-snyk-setup-and-checking-for-vulnerabilities/README.md)),[ Jira](https://snyk.io/atlassian/jira-cloud/), [Slack](https://slack.com/marketplace/A04NXBUEC0P-snyk-for-slack), [Microsoft Teams](https://www.kimpel.com/post/snyk/snyk-webhook-subscriptions-integrations/#:~:text=Integrate%20your%20Snyk%20application%20security,harrykimpel%2Fsnyk%2Dwebhook%2Dsubscription).
- VSCode: [extensión](https://docs.snyk.io/cli-ide-and-ci-cd-integrations/snyk-ide-plugins-and-extensions/visual-studio-code-extension) oficial con análisis en tiempo real.

##### UI

- UI Web muy amigable.

##### Licencia

- Versión gratuita limitada (para proyectos públicos o uso individual).
- Planes comerciales.
- Instalación en máquinas virtuales posible.

##### Facilidad de uso

- Muy fácil. Requiere cuenta en Snyk.

##### Cumplimiento con estándares:

- **OWASP:** Compatible con el OWASP Top 10 a través de escaneo de código y dependencias vulnerables.
- **NIST:** Alineado con NIST SSDF (Secure Software Development Framework) y NIST 800-53 (RA-5, SI-2).
- **ISO/IEC 27001:** Aporta cumplimiento en controles de gestión de vulnerabilidades (A.12.6.1) y desarrollo seguro (A.14.2.5).
- **CIS Benchmarks:** Soporta escaneo de infraestructura como código conforme a CIS Benchmarks.
- **SOC 2 / GDPR / HIPAA / PCI DSS:** Ayuda en auditorías de cumplimiento mediante remediación continua y visibilidad.

# Falco

##### Descripción

[Falco](https://falco.org/) es un sistema de detección de intrusos para Kubernetes y contenedores. Monitorea el comportamiento en tiempo real basado en reglas.

##### Uso local

```
falco        # Inicia la monitorización
```

##### Reportes

- Logs, [JSON](https://falco.org/docs/concepts/outputs/channels/#:~:text=Para%20todos%20los%20canales%20de,evento%20que%20activ%C3%B3%20la%20alerta.), [alertas](https://falco.org/docs/concepts/outputs/#:~:text=Integraci%C3%B3n%20con%20terceros,m%C3%A1s%20de%2050%20sistemas%20diferentes.).
- Puede enviar a [Syslog](https://falco.org/docs/#:~:text=see%20Falco%20Rules.-,What%20are%20Falco%20alerts?,client%20through%20the%20gRPC%20API), [Slack](https://falco.org/blog/integrate-runtime-security-with-falcosidekick/#:~:text=For%20example%2C%20if%20you'd,directed%20to%20your%20alerting%20platform.), [Webhooks](https://docs.port.io/build-your-software-catalog/custom-integration/webhook/examples/falco/#:~:text=Configure%20Falco%20Sidekick%20to%20send,update%20the%20catalog%20entities%20accordingly.), [Prometheus](https://github.com/falcosecurity/falco-exporter).

##### Integración en CI/CD

- No escanea código, pero puede monitorear pods en tiempo real durante tests.

##### Integraciones

- [Prometheus](https://spacelift.io/blog/prometheus-kubernetes), [Grafana](https://www.freecodecamp.org/news/secure-server-infrastructure-clouds-using-falco-prometheus-grafana-and-docker/#:~:text=We%20will%20use%20Docker%20containers,file%20is%20written%20to%20/dev.), [Slack](https://falco.org/blog/integrate-runtime-security-with-falcosidekick/#:~:text=For%20example%2C%20if%20you'd,directed%20to%20your%20alerting%20platform.), [Microsoft Teams](https://marketplace.crowdstrike.com/listings/soar-actions-built-for-microsoft-teams), [Elasticsearch](https://www.elastic.co/blog/falco-elastic-security-cloud-workload-protection), [Jira.](https://docs.port.io/build-your-software-catalog/custom-integration/webhook/examples/falco/#:~:text=Log%20in%20to%20your%20server,Save%20the%20file)
- VSCode: no aplicable.

##### UI

- No posee UI, se integra con dashboards como [Grafana.](https://grafana.com/)

##### Licencia

- **Open source (Apache 2.0)**.
- Instalación sencilla en VMs o clústeres.

##### Facilidad de uso

- Avanzado. Requiere conocimientos de reglas y eventos del sistema.

##### Cumplimiento con estándares:

- **OWASP:** No aplica directamente, pero puede apoyar seguridad operacional en ambientes donde se despliegan apps OWASP.
- **NIST:** Compatible con NIST 800-53 en controles como SI-4 (detección de incidentes), AU-6 (auditoría y monitoreo).
- **ISO/IEC 27001:** Apoya el cumplimiento de controles como A.12.4 (registro de eventos) y A.16.1 (gestión de incidentes).
- **CIS Benchmarks:** Se utiliza para detectar desviaciones en tiempo real de configuraciones definidas por CIS.

# Faraday

##### Descripción

Faraday es una plataforma de gestión de vulnerabilidades que permite integrar resultados de herramientas de análisis de seguridad y centralizar reportes orientada a equipos de seguridad, pentesters y procesos de DevSecOps.

Permite:

- Consolidar hallazgos de múltiples herramientas de análisis.
- Gestionar y priorizar vulnerabilidades de forma centralizada.
- Colaborar en tiempo real en auditorías y pruebas de seguridad.

Funciona como un **servidor central** con una interfaz web y un cliente CLI (`faraday-cli`) que facilita la autenticación, gestión de workspaces y la carga automática de reportes a la plataforma, lo que permite integrarlo en pipelines de CI/CD. Soporta múltiples formatos de reportes y herramientas de seguridad, como Trivy, OpenVAS, Nessus, Burp Suite, etc.

##### Uso local

Faraday se puede ejecutar localmente mediante Docker o instalación directa en Linux.  
Ejemplo con Docker:

```
docker run -it -p 5985:5985 -v faraday_data:/home/faraday/.faraday faradaysec/faraday
```

CLI básico

**Iniciar sesión**:

```
faraday-cli auth login --server https://<host>:5985 --username faraday --password <pass>
```

**Subir un reporte**:

```
faraday-cli tool report ./trivy-report.json --workspace <workspace>
```

**Listar workspaces**:

```
faraday-cli workspace list
```

##### Reportes

Faraday procesa los reportes de herramientas de seguridad y los almacena en un **workspace**.

- **Ubicación de datos**: Principalmente en la sección **Assets**, donde se relacionan vulnerabilidades con hosts, servicios o aplicaciones.
- **Dashboard**: No siempre muestra todo automáticamente, ya que prioriza métricas y gráficos generales.
- **Formatos soportados**: XML, JSON, CSV y formatos nativos de herramientas como Nessus, OpenVAS, Trivy, Burp, Nmap, etc.

##### Integración en CI/CD

Faraday puede integrarse en pipelines para subir reportes automáticamente después de un escaneo.

```
      - name: Generate Trivy Filesystem Report
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: fs
          output: trivy-fs-report.json
          format: json
          scan-ref: .
          exit-code: 0

      - name: Upload Trivy reports
        run: |
          faraday-cli tool report -w "$WORKSPACE" trivy-fs-report.json
```

##### Integraciones

- **Herramientas compatibles**: Trivy, OpenVAS, Burp Suite, Nessus, Nikto, Nmap, OWASP ZAP, etc.
- **Colaboración**: Slack, Jira y otros mediante API.
- **Automatización**: API REST para crear workspaces, subir hallazgos y consultar datos.

##### UI

- Interfaz web accesible desde cualquier navegador.
- Funcionalidades:
    
    
    - Vista de **Assets** y vulnerabilidades asociadas.
    - **Dashboard** con métricas, severidad y gráficos.
    - Administración de **workspaces**, usuarios y roles.
    - Filtros avanzados para priorizar hallazgos.

##### Licencia

- Faraday **Community Edition**: Licencia GPLv3 (código abierto).
- Faraday **Professional &amp; Corporate**: Licencia comercial con características avanzadas.

##### Facilidad de uso

- **Ventajas**:
    
    
    - Compatible con una gran variedad de herramientas.
    - CLI intuitiva y scripts de automatización.
    - Dashboard centralizado para equipos.
- **Desafíos**:
    
    
    - Requiere configuración inicial de SSL y credenciales.
    - Algunos formatos de reporte necesitan preprocesado, tienes que asegurarte de que esté en un formato estructurado y limpio que Faraday pueda leer.

##### Cumplimiento con estándares

Faraday no certifica por sí mismo estándares, pero **facilita el cumplimiento** al centralizar la gestión de vulnerabilidades y permitir auditorías trazables.

- **OWASP**: Compatible con flujos de seguridad recomendados, soporta OWASP ZAP y otras herramientas.
- **NIST 800-53 / 800-115**: Permite documentar, priorizar y remediar vulnerabilidades según guías NIST.
- **ISO 27001**: Ayuda a implementar controles de seguridad relacionados con la identificación y tratamiento de riesgos.