| Trivy |
✅ Sí |
Imágenes Docker, código, IaC |
✅ Sí |
SCA, IaC, secretos, vuln. |
⭐⭐⭐⭐ Fácil |
✅ Activa (AquaSec) |
✅ Claro (CLI/JSON) |
✅ Sí |
✅ Gratis (OSS) |
GitHub, GitLab, Jenkins |
✅ Parcial (políticas) |
✅ OWASP, CIS |
| Grype + Syft |
✅ Sí |
Análisis de imágenes/SBOM |
✅ Sí |
SCA (dependencias) |
⭐⭐⭐ Media |
✅ Sí (Anchore) |
CLI/JSON/SARIF |
✅ Sí |
✅ Gratis (OSS) |
GitHub, GitLab |
✅ Avanzado (rules.yaml) |
✅ Parcial (CIS, OWASP) |
| SonarQube CE |
✅ (CE) / ❌ (EE) |
Código fuente (SAST) |
✅ Sí |
SAST |
⭐⭐⭐⭐ Fácil |
✅ Amplia |
✅ Muy buenos |
✅ Sí |
✅ CE gratis / EE pago |
GitHub, GitLab, Jenkins |
✅ Sí |
✅ OWASP Top 10 |
| OWASP ZAP |
✅ Sí |
Web apps (DAST) |
✅ Sí |
DAST |
⭐⭐ Intermedio |
✅ OWASP |
✅ GUI + JSON |
✅ Sí |
✅ Gratis |
Jenkins, GitHub, Jira |
✅ Avanzado |
✅ OWASP Top 10 |
| Semgrep |
✅ Sí |
Código (SAST ligero + rules) |
✅ Sí |
SAST |
⭐⭐⭐⭐ Fácil |
✅ Activa |
✅ Personalizables |
✅ Sí |
✅ Gratis (OSS) / pago |
GitHub, GitLab, Jira |
✅ Muy flexible |
✅ OWASP, PCI, etc. |
| Checkov |
✅ Sí |
Infraestructura como código |
✅ Sí |
IaC (Terraform, etc.) |
⭐⭐⭐⭐ Fácil |
✅ Activa (Bridgecrew) |
✅ CLI/JSON |
✅ Sí |
✅ Gratis (OSS) |
GitHub, GitLab, Terraform |
✅ Sí |
✅ CIS, NIST |
| Snyk |
❌ (pero tiene CLI OSS) |
Código, IaC, dependencias |
✅ Sí |
SAST, SCA, IaC |
⭐⭐⭐⭐ Fácil |
✅ Comercial y activa |
✅ Excelente GUI/CLI |
✅ Sí |
❌ Pago (freemium) |
GitHub, GitLab, Jira |
✅ Sí (limitado OSS) |
✅ OWASP, NIST |
| Falco |
✅ Sí |
Tiempo de ejecución (runtime) |
✅ Sí |
Runtime anomalies |
⭐⭐ Medio |
✅ CNCF, Sysdig |
Logs + alertas |
✅ Sí |
✅ Gratis (OSS) |
SIEM, Prometheus, etc. |
✅ Sí (reglas YAML) |
✅ CIS Benchmarks |
