Snyk

Descripción 

 Snyk es una herramienta para detectar vulnerabilidades en dependencias, contenedores, código IaC y código fuente. 

 Uso local 

 snyk test # Escaneo de dependencias

snyk code test # Escaneo de código fuente 

 Reportes 

 

 

 JSON , CLI , UI Web . 

 

 

 Excelente presentación en su portal online. 

 

 

 Integración en CI/CD 

 

 Un conjunto de acciones de GitHub para usar Snyk y buscar vulnerabilidades en tus proyectos de GitHub. Se requiere una acción diferente según el lenguaje o la herramienta de compilación que uses.  

 

 - name: Run Snyk to check for vulnerabilities

 uses: snyk/actions/node@master

 env:

 SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}

 with:

 command: monitor 

 

 Integraciones 

 

 

 GitHub (Security Tab ), Jira , Slack , Microsoft Teams . 

 

 

 VSCode: extensión oficial con análisis en tiempo real. 

 

 

 UI 

 

 UI Web muy amigable. 

 

 Licencia 

 

 

 Versión gratuita limitada (para proyectos públicos o uso individual). 

 

 

 Planes comerciales. 

 

 

 Instalación en máquinas virtuales posible. 

 

 

 Facilidad de uso 

 

 Muy fácil. Requiere cuenta en Snyk. 

 

 Cumplimiento con estándares: 

 

 

 OWASP: Compatible con el OWASP Top 10 a través de escaneo de código y dependencias vulnerables. 

 

 

 NIST: Alineado con NIST SSDF (Secure Software Development Framework) y NIST 800-53 (RA-5, SI-2). 

 

 

 ISO/IEC 27001: Aporta cumplimiento en controles de gestión de vulnerabilidades (A.12.6.1) y desarrollo seguro (A.14.2.5). 

 

 

 CIS Benchmarks: Soporta escaneo de infraestructura como código conforme a CIS Benchmarks. 

 

 

 SOC 2 / GDPR / HIPAA / PCI DSS: Ayuda en auditorías de cumplimiento mediante remediación continua y visibilidad.