# Trivy (by Aqua Security)

##### Descripción

[Trivy](https://trivy.dev/latest/) es un escáner de seguridad todo en uno para contenedores, código, repositorios Git y más. Identifica vulnerabilidades (CVE), secretos expuestos y configuraciones erróneas.

##### Uso local

```
# Escanear una imagen Docker
trivy image nginx:latest

# Escanear archivos o repositorios
trivy fs .

# Escanear un repositorio remoto
trivy repo https://github.com/usuario/proyecto

```

##### Reportes

- Formatos: [JSON](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=parent%403.1.0.-,JSON,-Scanner), [SARIF](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=might%20be%20empty.-,SARIF,-Scanner) (para GitHub), [tabla](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=GitHub%20dependency%20snapshot-,Table%20(Default),-Scanner), [plantillas personalizadas](https://trivy.dev/v0.53/docs/configuration/reporting/#:~:text=your%20GitHub%20repository.-,Template,-Scanner).
- Exportables a sistemas como [DefectDojo](https://trivy.dev/v0.50/ecosystem/reporting/).

##### Integración en CI/CD

- Ejecuta Trivy como [acción de GitHub](https://github.com/aquasecurity/trivy-action) para escanear la imagen del contenedor Docker en busca de vulnerabilidades. Puede detener el pipeline si encuentra vulnerabilidades críticas.

```
      - name: Generate Trivy Vulnerability Report
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: "fs"
          output: trivy-report.json
          format: json
          scan-ref: .
          exit-code: 0

```

##### Integraciones

- [GitHub](https://www.youtube.com/watch?app=desktop&v=GGWinWTHqCY).
- [Slack](https://aquasecurity.github.io/postee/v2.9.0/) (via Webhook).
- [Jira:](https://aquasecurity.github.io/postee/v2.8.4/blueprints/trivy-operator/) se puede automatizar la creación de tickets con scripts + API.
- Plane, Microsoft Teams: vía Webhooks o bots.
- VSCode: [extensión oficial](https://github.com/aquasecurity/trivy-vscode-extension) para escaneo local.
- DevSecOps: se puede integrar con [DefectDojo](https://defectdojo.com/), [Kubernetes Admission Controllers](https://devopstales.github.io/trivy-operator/2.4/functions/image-validator/).

##### UI

- Tiene una **UI web experimental** en el proyecto [Trivy Dashboard](https://github.com/locustbaby/trivy-ui).
- CLI amigable.

##### Licencia

- **Open source (Apache 2.0)**.
- Puede instalarse localmente o en máquinas virtuales gratis.

##### Facilidad de uso

- Muy fácil. Documentación clara y CLI muy intuitiva.

##### Cumplimiento con estándares

- **OWASP:** Detecta vulnerabilidades en dependencias alineadas al OWASP Top 10, especialmente el punto A06:2021 sobre componentes vulnerables.
- **NIST:** Compatible con NIST SP 800-53 (controles RA-5, SI-2) al detectar vulnerabilidades técnicas de forma automatizada.
- **ISO/IEC 27001:** Apoya el cumplimiento del control A.12.6.1 (gestión de vulnerabilidades técnicas).
- **CIS Benchmarks:** Escanea configuraciones de contenedores y Kubernetes contra benchmarks de seguridad del CIS.