Comparativa Graficas

Herramienta	¿Es Open Source?	Alcance de evaluación	Integrable en DevSecOps	Tipo de vulnerabilidades	Facilidad de uso	Comunidad / Soporte	Reportes comprensibles	Automatizable en CI/CD	Costo	Integraciones	Personalización de reglas	Cumplimiento de estándares
Trivy	✅ Sí	Imágenes Docker, código, IaC	✅ Sí	SCA, IaC, secretos, vuln.	⭐⭐⭐⭐ Fácil	✅ Activa (AquaSec)	✅ Claro (CLI/JSON)	✅ Sí	✅ Gratis (OSS)	GitHub, GitLab, Jenkins	✅ Parcial (políticas)	✅ OWASP, CIS
Grype + Syft	✅ Sí	Análisis de imágenes/SBOM	✅ Sí	SCA (dependencias)	⭐⭐⭐ Media	✅ Sí (Anchore)	CLI/JSON/SARIF	✅ Sí	✅ Gratis (OSS)	GitHub, GitLab	✅ Avanzado (rules.yaml)	✅ Parcial (CIS, OWASP)
SonarQube CE	✅ (CE) / ❌ (EE)	Código fuente (SAST)	✅ Sí	SAST	⭐⭐⭐⭐ Fácil	✅ Amplia	✅ Muy buenos	✅ Sí	✅ CE gratis / EE pago	GitHub, GitLab, Jenkins	✅ Sí	✅ OWASP Top 10
OWASP ZAP	✅ Sí	Web apps (DAST)	✅ Sí	DAST	⭐⭐ Intermedio	✅ OWASP	✅ GUI + JSON	✅ Sí	✅ Gratis	Jenkins, GitHub, Jira	✅ Avanzado	✅ OWASP Top 10
Semgrep	✅ Sí	Código (SAST ligero + rules)	✅ Sí	SAST	⭐⭐⭐⭐ Fácil	✅ Activa	✅ Personalizables	✅ Sí	✅ Gratis (OSS) / pago	GitHub, GitLab, Jira	✅ Muy flexible	✅ OWASP, PCI, etc.
Checkov	✅ Sí	Infraestructura como código	✅ Sí	IaC (Terraform, etc.)	⭐⭐⭐⭐ Fácil	✅ Activa (Bridgecrew)	✅ CLI/JSON	✅ Sí	✅ Gratis (OSS)	GitHub, GitLab, Terraform	✅ Sí	✅ CIS, NIST
Snyk	❌ (pero tiene CLI OSS)	Código, IaC, dependencias	✅ Sí	SAST, SCA, IaC	⭐⭐⭐⭐ Fácil	✅ Comercial y activa	✅ Excelente GUI/CLI	✅ Sí	❌ Pago (freemium)	GitHub, GitLab, Jira	✅ Sí (limitado OSS)	✅ OWASP, NIST
Falco	✅ Sí	Tiempo de ejecución (runtime)	✅ Sí	Runtime anomalies	⭐⭐ Medio	✅ CNCF, Sysdig	Logs + alertas	✅ Sí	✅ Gratis (OSS)	SIEM, Prometheus, etc.	✅ Sí (reglas YAML)	✅ CIS Benchmarks