Ir al contenido principal

Grype + Syft (by Anchore)

Descripción

  • Syft: genera un SBOM (Software Bill of Materials).

  • Grype: analiza el SBOM o imagen para encontrar CVEs.

Uso local
# Syft - generar SBOM
syft nginx:latest -o json > sbom.json

# Grype - escanear imagen
grype nginx:latest

# Escanear SBOM generado
grype sbom:sbom.json
Reportes

  • JSON, table, CycloneDX, SPDX, SARIF.

  • Puede exportarse a sistemas como Sonatype, DefectDojo.

Integración en CI/CD

Una acción de GitHub para invocar el escáner Grype y devolver las vulnerabilidades encontradas, y opcionalmente fallar si se encuentra una vulnerabilidad con un nivel de gravedad configurable.

- name: Scan current project
  uses: anchore/scan-action@v6
  with:
    path: "."
Integraciones

  • GitHub (SARIF reports en Security tab).

  • Slack, Teams, Jira (mediante integraciones manuales/API).

  • VSCode: No oficial, pero puede usarse vía terminal.

UI

  • No posee UI propia.

  • Compatible con Anchore Enterprise UI (versión paga).

Licencia

  • Open source (Apache 2.0).

  • Funciona perfectamente en VMs locales.

Facilidad de uso
  • Fácil. CLI clara, requiere instalación de dos binarios (syft, grype).

Volver arriba