Comparativa Gráfica Herramienta ¿Es Open Source? Alcance de evaluación Integrable en DevSecOps Tipo de vulnerabilidades Facilidad de uso Comunidad / Soporte Reportes comprensibles Automatizable en CI/CD Costo Integraciones Personalización de reglas Cumplimiento de estándares Trivy ✅ Sí Imágenes Docker, código, IaC ✅ Sí SCA, IaC, secretos, vuln. ⭐⭐⭐⭐ Fácil ✅ Activa (AquaSec) ✅ Claro (CLI/JSON) ✅ Sí ✅ Gratis (OSS) GitHub, GitLab, Jenkins ✅ Parcial (políticas) ✅ OWASP, CIS Grype + Syft ✅ Sí Análisis de imágenes/SBOM ✅ Sí SCA (dependencias) ⭐⭐⭐ Media ✅ Sí (Anchore) CLI/JSON/SARIF ✅ Sí ✅ Gratis (OSS) GitHub, GitLab ✅ Avanzado (rules.yaml) ✅ Parcial (CIS, OWASP) SonarQube CE ✅ (CE) / ❌ (EE) Código fuente (SAST) ✅ Sí SAST ⭐⭐⭐⭐ Fácil ✅ Amplia ✅ Muy buenos ✅ Sí ✅ CE gratis / EE pago GitHub, GitLab, Jenkins ✅ Sí ✅ OWASP Top 10 OWASP ZAP ✅ Sí Web apps (DAST) ✅ Sí DAST ⭐⭐ Intermedio ✅ OWASP ✅ GUI + JSON ✅ Sí ✅ Gratis Jenkins, GitHub, Jira ✅ Avanzado ✅ OWASP Top 10 Semgrep ✅ Sí Código (SAST ligero + rules) ✅ Sí SAST ⭐⭐⭐⭐ Fácil ✅ Activa ✅ Personalizables ✅ Sí ✅ Gratis (OSS) / pago GitHub, GitLab, Jira ✅ Muy flexible ✅ OWASP, PCI, etc. Checkov ✅ Sí Infraestructura como código ✅ Sí IaC (Terraform, etc.) ⭐⭐⭐⭐ Fácil ✅ Activa (Bridgecrew) ✅ CLI/JSON ✅ Sí ✅ Gratis (OSS) GitHub, GitLab, Terraform ✅ Sí ✅ CIS, NIST Snyk ❌ (pero tiene CLI OSS) Código, IaC, dependencias ✅ Sí SAST, SCA, IaC ⭐⭐⭐⭐ Fácil ✅ Comercial y activa ✅ Excelente GUI/CLI ✅ Sí ❌ Pago (freemium) GitHub, GitLab, Jira ✅ Sí (limitado OSS) ✅ OWASP, NIST Falco ✅ Sí Tiempo de ejecución (runtime) ✅ Sí Runtime anomalies ⭐⭐ Medio ✅ CNCF, Sysdig Logs + alertas ✅ Sí ✅ Gratis (OSS) SIEM, Prometheus, etc. ✅ Sí (reglas YAML) ✅ CIS Benchmarks