# Grype + Syft (by Anchore)

##### Descripción

- [**Syft**](https://www.syftanalytics.com/): genera un SBOM (Software Bill of Materials).
- [**Grype**](https://anchore.com/opensource/): analiza el SBOM o imagen para encontrar CVEs.

##### Uso local

```
# Syft - generar SBOM
syft nginx:latest -o json > sbom.json

# Grype - escanear imagen
grype nginx:latest

# Escanear SBOM generado
grype sbom:sbom.json

```

##### Reportes

- JSON, table, CycloneDX, SPDX, SARIF.
- Puede exportarse a sistemas como [Sonatype](https://www.sonatype.com/), [DefectDojo](https://defectdojo.com/).

##### Integración en CI/CD

- Una [acción de GitHub](https://github.com/anchore/scan-action) para invocar el escáner Grype y devolver las vulnerabilidades encontradas, y opcionalmente fallar si se encuentra una vulnerabilidad con un nivel de gravedad configurable.

```
- name: Scan current project
  uses: anchore/scan-action@v6
  with:
    path: "."
```

##### Integraciones

- GitHub (SARIF reports en Security tab).
- Slack, Teams, Jira (mediante integraciones manuales/API).
- VSCode: No oficial, pero puede usarse vía terminal.

##### UI

- No posee UI propia.
- Compatible con Anchore Enterprise UI (versión paga).

##### Licencia

- **Open source (Apache 2.0)**.
- Funciona perfectamente en VMs locales.

##### Facilidad de uso

- Fácil. CLI clara, requiere instalación de dos binarios (`syft`, `grype`).

##### Cumplimiento con estándares:

- **OWASP:** Ayuda a mitigar riesgos del OWASP Top 10 relacionados con componentes desactualizados o vulnerables.
- **NIST:** Compatible con NIST SP 800-218 (SSDF) por generar y analizar SBOMs; se alinea con controles RA-5, SI-2 de NIST 800-53.
- **ISO/IEC 27001:** Contribuye a controles como A.8.1.1 (inventario de activos) y A.12.6.1 (vulnerabilidades técnicas).
- **CIS Benchmarks:** Aplica indirectamente cuando se usa en conjunto con políticas de seguridad de configuración.