Proceso automatizado de identificar vulnerabilidades conocidas en código, dependencias, contenedores e infraestructura antes de que lleguen a producción.
El escaneo de vulnerabilidades identifica automáticamente debilidades de seguridad conocidas en código, dependencias y configuraciones. Es un componente esencial de DevSecOps.
| Tipo | Qué analiza | Cuándo |
|---|---|---|
| SAST | Código fuente | Pre-commit, CI |
| SCA | Dependencias | CI, scheduled |
| Container | Imágenes Docker | CI, registry |
| IaC | Terraform, CloudFormation | CI |
| DAST | Aplicación corriendo | Staging, prod |
| Categoría | Qué escanea | Herramientas | Fase |
|---|---|---|---|
| SAST | Código fuente | Semgrep, SonarQube, CodeQL | PR / build |
| SCA | Dependencias | Snyk, Dependabot, Trivy | PR + diario |
| Container | Imágenes de contenedores | Trivy, Grype, ECR scanning | Build de imagen |
| IaC | Infraestructura como código | Checkov, tfsec, KICS | PR / plan |
- scan-dependencies: snyk test
- scan-code: semgrep --config auto
- scan-container: trivy image myapp:latest
- gate: fail if critical vulnerabilitiesEl principio de «shift left» mueve el escaneo lo más temprano posible en el ciclo de desarrollo. Encontrar una vulnerabilidad en el IDE es 100x más barato que encontrarla en producción.
El escaneo de vulnerabilidades automatizado es la primera línea de defensa contra dependencias comprometidas e imágenes de contenedor inseguras. Integrado en el pipeline de CI/CD, detecta problemas antes de que lleguen a producción.
Integración de prácticas de seguridad en todo el ciclo de vida del desarrollo de software, automatizando controles de seguridad en el pipeline de CI/CD.
Continuous Integration y Continuous Delivery/Deployment — prácticas que automatizan la integración de código, testing y entrega a producción. Fundamento de la ingeniería de software moderna.
Prácticas para asegurar la integridad y seguridad de todas las dependencias, herramientas y procesos que componen el pipeline de desarrollo de software.