Recomendaciones
Herramientas recomendadas para incluir en el stack tecnológico (open source y gratuitas)
| Herramienta | Licencia | Motivo para incluir |
|---|---|---|
| Trivy | Apache 2.0 (OSS) | Escaneo de imágenes, código fuente, repositorios, configuración IaC, secretos. Rápido y versátil. |
| Grype + Syft | Apache 2.0 (OSS) | SBOM + análisis de vulnerabilidades. Ideal para cumplimiento con NIST y gestión de inventario. |
| OWASP ZAP | Apache 2.0 (OSS) | Escaneo de aplicaciones web. GUI, CLI y automatizable. 100% alineado con OWASP. |
| Semgrep | LGPL (Free tier) | Excelente para escaneo SAST. Reglas YAML personalizadas, muy útil para desarrollo seguro. |
| Checkov | Apache 2.0 (OSS) | IaC security. Compatible con Terraform, Kubernetes, CloudFormation, etc. |
| Falco | Apache 2.0 (OSS) | Detección de amenazas en tiempo real en contenedores y Kubernetes. Ideal para producción. |
Estas herramientas:
-
Son open source reales o con licencia suficientemente abierta para entornos empresariales.
-
Funcionan bien en máquinas virtuales y en local.
-
Se integran fácilmente en pipelines CI/CD.
-
Cumplen con estándares como OWASP, NIST, ISO 27001, CIS Benchmarks.
Herramientas útiles pero con limitaciones en la versión gratuita.
| Herramienta | Licencia | Uso recomendado / limitación |
|---|---|---|
| SonarQube | Community Edition OSS | Muy útil para SAST. La versión gratuita no incluye todos los lenguajes ni reglas avanzadas. Instalable en VM. |
| Snyk | Gratis con limitaciones | Muy potente, pero requiere cuenta. En la versión free se limita el número de escaneos y proyectos privados. |
Puedes usarse si:
-
Si se esta dispuesto a autohospedarlas (en el caso de SonarQube).
-
Aceptas limitaciones funcionales para equipos pequeños (en el caso de Snyk).