# Snyk

##### Descripción

[Snyk](https://snyk.io/es/) es una herramienta para detectar vulnerabilidades en dependencias, contenedores, código IaC y código fuente.

##### Uso local

```
snyk test     # Escaneo de dependencias
snyk code test  # Escaneo de código fuente
```

##### Reportes

- [JSON](https://snyk.io/blog/getting-the-most-out-of-snyk-test/), [CLI](https://docs.snyk.io/cli-ide-and-ci-cd-integrations/snyk-cli), [UI Web](https://docs.snyk.io/getting-started/snyk-web-ui).
- Excelente presentación en su portal online.

##### Integración en CI/CD

- Un conjunto de acciones de GitHub para usar [Snyk](https://github.com/snyk/actions) y buscar vulnerabilidades en tus proyectos de GitHub. Se requiere una acción diferente según el lenguaje o la herramienta de compilación que uses.

```
      - name: Run Snyk to check for vulnerabilities
        uses: snyk/actions/node@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          command: monitor
```

##### Integraciones

- [GitHub (Security Tab](https://github.com/snyk/user-docs/blob/main/docs/scm-ide-and-ci-cd-integrations/snyk-ci-cd-integrations/github-actions-for-snyk-setup-and-checking-for-vulnerabilities/README.md)),[ Jira](https://snyk.io/atlassian/jira-cloud/), [Slack](https://slack.com/marketplace/A04NXBUEC0P-snyk-for-slack), [Microsoft Teams](https://www.kimpel.com/post/snyk/snyk-webhook-subscriptions-integrations/#:~:text=Integrate%20your%20Snyk%20application%20security,harrykimpel%2Fsnyk%2Dwebhook%2Dsubscription).
- VSCode: [extensión](https://docs.snyk.io/cli-ide-and-ci-cd-integrations/snyk-ide-plugins-and-extensions/visual-studio-code-extension) oficial con análisis en tiempo real.

##### UI

- UI Web muy amigable.

##### Licencia

- Versión gratuita limitada (para proyectos públicos o uso individual).
- Planes comerciales.
- Instalación en máquinas virtuales posible.

##### Facilidad de uso

- Muy fácil. Requiere cuenta en Snyk.

##### Cumplimiento con estándares:

- **OWASP:** Compatible con el OWASP Top 10 a través de escaneo de código y dependencias vulnerables.
- **NIST:** Alineado con NIST SSDF (Secure Software Development Framework) y NIST 800-53 (RA-5, SI-2).
- **ISO/IEC 27001:** Aporta cumplimiento en controles de gestión de vulnerabilidades (A.12.6.1) y desarrollo seguro (A.14.2.5).
- **CIS Benchmarks:** Soporta escaneo de infraestructura como código conforme a CIS Benchmarks.
- **SOC 2 / GDPR / HIPAA / PCI DSS:** Ayuda en auditorías de cumplimiento mediante remediación continua y visibilidad.