# Recomendaciones **Herramientas recomendadas para incluir en el stack tecnológico (open source y gratuitas)**
HerramientaLicenciaMotivo para incluir
**Trivy**Apache 2.0 (OSS)Escaneo de imágenes, código fuente, repositorios, configuración IaC, secretos. Rápido y versátil.
**Grype + Syft**Apache 2.0 (OSS)SBOM + análisis de vulnerabilidades. Ideal para cumplimiento con NIST y gestión de inventario.
**OWASP ZAP**Apache 2.0 (OSS)Escaneo de aplicaciones web. GUI, CLI y automatizable. 100% alineado con OWASP.
**Semgrep**LGPL (Free tier)Excelente para escaneo SAST. Reglas YAML personalizadas, muy útil para desarrollo seguro.
**Checkov**Apache 2.0 (OSS)IaC security. Compatible con Terraform, Kubernetes, CloudFormation, etc.
**Falco**Apache 2.0 (OSS)Detección de amenazas en tiempo real en contenedores y Kubernetes. Ideal para producción.
Estas herramientas: - Son **open source reales** o con licencia suficientemente abierta para entornos empresariales. - Funcionan bien en **máquinas virtuales** y en local. - Se integran fácilmente en pipelines CI/CD. - Cumplen con estándares como OWASP, NIST, ISO 27001, CIS Benchmarks. **Herramientas útiles pero con limitaciones en la versión gratuita.**
HerramientaLicenciaUso recomendado / limitación
**SonarQube**Community Edition OSSMuy útil para SAST. La versión gratuita no incluye todos los lenguajes ni reglas avanzadas. Instalable en VM.
**Snyk**Gratis con limitacionesMuy potente, pero requiere cuenta. En la versión free se limita el número de escaneos y proyectos privados.
Puedes usarse si: - Si se esta dispuesto a autohospedarlas (en el caso de SonarQube). - Aceptas limitaciones funcionales para equipos pequeños (en el caso de Snyk). **Herramientas que podrías descartar (para uso exclusivo OSS / sin costo)**
HerramientaMotivo para descartar o evitar
**Snyk (versión cloud)**Aunque potente, sus planes gratuitos son limitados para uso en producción o entornos empresariales. Necesita upgrade para características clave (políticas, tickets en Jira, control RBAC, etc.).
**SonarQube (versión Enterprise)**Solo necesaria si necesitas análisis profundo de C++, COBOL, Salesforce, o reglas personalizadas complejas.
**Recomendaciones según casos de uso:** - **Para Imágenes Docker y Seguridad general (SCA, IaC, secretos):** ➤ *Trivy* (rápido, simple, bien mantenido) ➤ *Grype + Syft* si necesitas generar o analizar SBOM - **Para análisis de código fuente (SAST):** ➤ *SonarQube* si buscas reportes detallados por roles ➤ *Semgrep* si necesitas reglas personalizadas y flexibilidad - **Para vulnerabilidades en infraestructura como código (IaC):** ➤ *Checkov* (fuerte soporte para Terraform, CloudFormation) - **Para pruebas activas de aplicaciones web (DAST):** ➤ *OWASP ZAP* (ideal para pruebas automatizadas de apps web) - **Para detección en tiempo de ejecución:** ➤ *Falco* (detección de anomalías en contenedores/Kubernetes) **Stack tecnológico DevSecOps recomendado (100% open source / gratuito)**
Fase DevSecOpsHerramientaFuncionalidad
**SAST**Semgrep, SonarQube CEEscaneo de código fuente y detección de bugs
**SCA**Trivy, Grype + SyftEscaneo de dependencias y vulnerabilidades (CVEs)
**IaC Security**Checkov, TrivyRevisión de infraestructura como código
**DAST**OWASP ZAPEscaneo dinámico de aplicaciones web
**SBOM**SyftGeneración de lista de materiales de software
**Runtime Security**FalcoMonitoreo de comportamiento en contenedores/K8s