Recomendaciones Herramientas recomendadas para incluir en el stack tecnológico (open source y gratuitas) Herramienta Licencia Motivo para incluir Trivy Apache 2.0 (OSS) Escaneo de imágenes, código fuente, repositorios, configuración IaC, secretos. Rápido y versátil. Grype + Syft Apache 2.0 (OSS) SBOM + análisis de vulnerabilidades. Ideal para cumplimiento con NIST y gestión de inventario. OWASP ZAP Apache 2.0 (OSS) Escaneo de aplicaciones web. GUI, CLI y automatizable. 100% alineado con OWASP. Semgrep LGPL (Free tier) Excelente para escaneo SAST. Reglas YAML personalizadas, muy útil para desarrollo seguro. Checkov Apache 2.0 (OSS) IaC security. Compatible con Terraform, Kubernetes, CloudFormation, etc. Falco Apache 2.0 (OSS) Detección de amenazas en tiempo real en contenedores y Kubernetes. Ideal para producción. Estas herramientas: Son open source reales o con licencia suficientemente abierta para entornos empresariales. Funcionan bien en máquinas virtuales y en local. Se integran fácilmente en pipelines CI/CD. Cumplen con estándares como OWASP, NIST, ISO 27001, CIS Benchmarks. Herramientas útiles pero con limitaciones en la versión gratuita. Herramienta Licencia Uso recomendado / limitación SonarQube Community Edition OSS Muy útil para SAST. La versión gratuita no incluye todos los lenguajes ni reglas avanzadas. Instalable en VM. Snyk Gratis con limitaciones Muy potente, pero requiere cuenta. En la versión free se limita el número de escaneos y proyectos privados. Puedes usarse si: Si se esta dispuesto a autohospedarlas (en el caso de SonarQube). Aceptas limitaciones funcionales para equipos pequeños (en el caso de Snyk). Herramientas que podrías descartar (para uso exclusivo OSS / sin costo) Herramienta Motivo para descartar o evitar Snyk (versión cloud) Aunque potente, sus planes gratuitos son limitados para uso en producción o entornos empresariales. Necesita upgrade para características clave (políticas, tickets en Jira, control RBAC, etc.). SonarQube (versión Enterprise) Solo necesaria si necesitas análisis profundo de C++, COBOL, Salesforce, o reglas personalizadas complejas. Recomendaciones según casos de uso: Para Imágenes Docker y Seguridad general (SCA, IaC, secretos): ➤ Trivy (rápido, simple, bien mantenido) ➤ Grype + Syft si necesitas generar o analizar SBOM Para análisis de código fuente (SAST): ➤ SonarQube si buscas reportes detallados por roles ➤ Semgrep si necesitas reglas personalizadas y flexibilidad Para vulnerabilidades en infraestructura como código (IaC): ➤ Checkov (fuerte soporte para Terraform, CloudFormation) Para pruebas activas de aplicaciones web (DAST): ➤ OWASP ZAP (ideal para pruebas automatizadas de apps web) Para detección en tiempo de ejecución: ➤ Falco (detección de anomalías en contenedores/Kubernetes) Stack tecnológico DevSecOps recomendado (100% open source / gratuito) Fase DevSecOps Herramienta Funcionalidad SAST Semgrep, SonarQube CE Escaneo de código fuente y detección de bugs SCA Trivy, Grype + Syft Escaneo de dependencias y vulnerabilidades (CVEs) IaC Security Checkov, Trivy Revisión de infraestructura como código DAST OWASP ZAP Escaneo dinámico de aplicaciones web SBOM Syft Generación de lista de materiales de software Runtime Security Falco Monitoreo de comportamiento en contenedores/K8s