Comparativa Gráfica
| Herramienta | ¿Es Open Source? | Alcance de evaluación | Integrable en DevSecOps | Tipo de vulnerabilidades | Facilidad de uso | Comunidad / Soporte | Reportes comprensibles | Automatizable en CI/CD | Costo | Integraciones | Personalización de reglas | Cumplimiento de estándares |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Trivy | ✅ Sí | Imágenes Docker, código, IaC | ✅ Sí | SCA, IaC, secretos, vuln. | ⭐⭐⭐⭐ Fácil | ✅ Activa (AquaSec) | ✅ Claro (CLI/JSON) | ✅ Sí | ✅ Gratis (OSS) | GitHub, GitLab, Jenkins | ✅ Parcial (políticas) | ✅ OWASP, CIS |
| Grype + Syft | ✅ Sí | Análisis de imágenes/SBOM | ✅ Sí | SCA (dependencias) | ⭐⭐⭐ Media | ✅ Sí (Anchore) | CLI/JSON/SARIF | ✅ Sí | ✅ Gratis (OSS) | GitHub, GitLab | ✅ Avanzado (rules.yaml) | ✅ Parcial (CIS, OWASP) |
| SonarQube CE | ✅ (CE) / ❌ (EE) | Código fuente (SAST) | ✅ Sí | SAST | ⭐⭐⭐⭐ Fácil | ✅ Amplia | ✅ Muy buenos | ✅ Sí | ✅ CE gratis / EE pago | GitHub, GitLab, Jenkins | ✅ Sí | ✅ OWASP Top 10 |
| OWASP ZAP | ✅ Sí | Web apps (DAST) | ✅ Sí | DAST | ⭐⭐ Intermedio | ✅ OWASP | ✅ GUI + JSON | ✅ Sí | ✅ Gratis | Jenkins, GitHub, Jira | ✅ Avanzado | ✅ OWASP Top 10 |
| Semgrep | ✅ Sí | Código (SAST ligero + rules) | ✅ Sí | SAST | ⭐⭐⭐⭐ Fácil | ✅ Activa | ✅ Personalizables | ✅ Sí | ✅ Gratis (OSS) / pago | GitHub, GitLab, Jira | ✅ Muy flexible | ✅ OWASP, PCI, etc. |
| Checkov | ✅ Sí | Infraestructura como código | ✅ Sí | IaC (Terraform, etc.) | ⭐⭐⭐⭐ Fácil | ✅ Activa (Bridgecrew) | ✅ CLI/JSON | ✅ Sí | ✅ Gratis (OSS) | GitHub, GitLab, Terraform | ✅ Sí | ✅ CIS, NIST |
| Snyk | ❌ (pero tiene CLI OSS) | Código, IaC, dependencias | ✅ Sí | SAST, SCA, IaC | ⭐⭐⭐⭐ Fácil | ✅ Comercial y activa | ✅ Excelente GUI/CLI | ✅ Sí | ❌ Pago (freemium) | GitHub, GitLab, Jira | ✅ Sí (limitado OSS) | ✅ OWASP, NIST |
| Falco | ✅ Sí | Tiempo de ejecución (runtime) | ✅ Sí | Runtime anomalies | ⭐⭐ Medio | ✅ CNCF, Sysdig | Logs + alertas | ✅ Sí | ✅ Gratis (OSS) | SIEM, Prometheus, etc. | ✅ Sí (reglas YAML) | ✅ CIS Benchmarks |