Escaneo de Vulnerabilidades
Proceso automatizado de identificar vulnerabilidades conocidas en código, dependencias, contenedores e infraestructura antes de que lleguen a producción.
seed#vulnerability#scanning#security#sast#sca#trivy
¿Qué es?
El escaneo de vulnerabilidades identifica automáticamente debilidades de seguridad conocidas en código, dependencias y configuraciones. Es un componente esencial de DevSecOps.
Tipos de escaneo
| Tipo | Qué analiza | Cuándo |
|---|---|---|
| SAST | Código fuente | Pre-commit, CI |
| SCA | Dependencias | CI, scheduled |
| Container | Imágenes Docker | CI, registry |
| IaC | Terraform, CloudFormation | CI |
| DAST | Aplicación corriendo | Staging, prod |
Herramientas
| Categoría | Qué escanea | Herramientas | Fase |
|---|---|---|---|
| SAST | Código fuente | Semgrep, SonarQube, CodeQL | PR / build |
| SCA | Dependencias | Snyk, Dependabot, Trivy | PR + diario |
| Container | Imágenes de contenedores | Trivy, Grype, ECR scanning | Build de imagen |
| IaC | Infraestructura como código | Checkov, tfsec, KICS | PR / plan |
Integración en CI/CD
- scan-dependencies: snyk test
- scan-code: semgrep --config auto
- scan-container: trivy image myapp:latest
- gate: fail if critical vulnerabilitiesShift left
El principio de «shift left» mueve el escaneo lo más temprano posible en el ciclo de desarrollo. Encontrar una vulnerabilidad en el IDE es 100x más barato que encontrarla en producción.
¿Por qué importa?
El escaneo de vulnerabilidades automatizado es la primera línea de defensa contra dependencias comprometidas e imágenes de contenedor inseguras. Integrado en el pipeline de CI/CD, detecta problemas antes de que lleguen a producción.
Referencias
- Trivy — Aqua Security, 2024. Scanner multi-propósito open source.
- Snyk — Snyk, 2024. Plataforma de seguridad para desarrolladores.
- Trivy — GitHub — Aqua Security, 2024. Código fuente y documentación del scanner.