Soporta definiciones de políticas de seguridad como código y las aplica en pipelines, CI/CD y en tiempo de ejecución. Aplica políticas en tiempo de ejecución mediante integraciones con Kubernetes, Terraform y plataformas CI/CD.

Audita periódicamente los entornos desplegados contra estándares de seguridad internos y externos.

Asocia y versiona metadatos de requisitos de seguridad por servicio y despliegue, habilitando visibilidad continua.

Relaciona hallazgos de seguridad con controles de políticas específicas o marcos regulatorios.

Rastrea autoría y revisores de código, etiqueta releases y documenta quién los disparó.

Asocia servicios desplegados con individuos o equipos responsables, manteniendo un historial de cambios, despliegues y roles.

Lista propietarios de servicios, equipos on-call y rutas de escalamiento, haciendo transparente la responsabilidad post-despliegue en toda la organización.

Rastrea hallazgos de seguridad y asigna responsabilidades de resolución.

Aplica políticas de acceso y límites de roles en entornos de ejecución.

Garantiza que solo los commits/despliegues autorizados afecten producción y registra cada promoción y rollback.

Detecta actividad no autorizada en tiempo de ejecución.

Alertas basadas en propiedad/roles.

Monitorea continuamente SBOMs para CVEs recién divulgados en el software desplegado.

Mantiene un registro histórico de software desplegado, componentes y sus SBOMs; vincula con propietarios para responsabilidad.

Genera SBOMs de imágenes de contenedores o sistemas de archivos desplegados bajo demanda.

Escaneo de vulnerabilidades post-despliegue en contenedores, sistemas de archivos y paquetes; también genera SBOMs.

Escaneo continuo de registries de contenedores para vulnerabilidades.

Escáner rápido de vulnerabilidades para imágenes de contenedores y sistemas de archivos.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Verifica firmas de artefactos desplegados; asegura que coincidan con builds aprobados.

Proporciona un registro público e inmutable para firmas y datos de procedencia.

Aplica políticas de seguridad y cumplimiento en sistemas desplegados (e.g., clusters de Kubernetes).

Audita la infraestructura y aplicaciones desplegadas contra líneas base de seguridad y requisitos de cumplimiento.

Plataforma de respuesta a incidentes para eventos de seguridad post-despliegue.

Implementa el framework In-toto usando pipelines-as-code para validación de seguridad de la cadena de suministro.

Rastrea vulnerabilidades y asigna tareas de remediación; integra con escáneres para actualizaciones continuas.

Detección de seguridad en tiempo de ejecución para contenedores y hosts; genera logs de eventos para comportamientos sospechosos.

Captura eventos de seguridad a nivel de sistema en Linux.

Telemetría de endpoints y monitoreo de configuración.

Recopila y almacena métricas y logs en un formato consultable.

Mantiene SBOMs versionadas vinculadas a cada despliegue.

Genera SBOMs a partir de artefactos desplegados para monitoreo continuo.

Recopila y almacena datos de escaneos de cumplimiento.

SIEM con registro de auditoría, detección de amenazas y monitoreo de cumplimiento.

Detecta vulnerabilidades CVE en imágenes y sistemas de archivos desplegados.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Proporciona un registro público e inmutable para firmas y datos de procedencia.

Audita infraestructura y aplicaciones desplegadas contra estándares de seguridad y cumplimiento.

Escaneo continuo de vulnerabilidades y generación de SBOM para sistemas en ejecución.

Almacena y organiza resultados de escaneos de seguridad; integra con Trivy, Grype y Dependency-Track.

Ejecuta escaneos de cumplimiento continuos en servidores de desarrollo y construcción; aplica benchmarks CIS/NIST.

Verifica la infraestructura contra estándares de seguridad definidos.

Monitorea nodos de construcción y despliegue en busca de cambios no autorizados.

Valida que clusters de Kubernetes para construcción/pruebas cumplan benchmarks CIS.

Aplica reglas para la configuración de infraestructura (Kubernetes, Terraform, CI/CD).

Aplicación de políticas nativas de Kubernetes para la seguridad del cluster.

Endurece pipelines CI/CD con controles de acceso y logs de auditoría.

Almacena artefactos de construcción de forma segura post-despliegue; aplica controles de acceso.

Registro de contenedores con escaneo de vulnerabilidades y RBAC incorporados.

Ingesta logs de seguridad de infraestructura y alerta sobre violaciones.

Detecta actividad no autorizada en clusters o nodos de construcción/despliegue.

Monitorea métricas de seguridad y genera notificaciones ante incidentes.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Mantiene un registro inmutable y a prueba de manipulaciones de archivos de configuración firmados.

Firmar y verificar imágenes de contenedores, binarios y otros artefactos.

Registro público inmutable para firmas y metadatos.

Verificación de cadena de suministro de extremo a extremo para asegurar que los artefactos desplegados provienen de fuentes confiables.

Firmar y verificar cualquier tipo de archivo, incluyendo tarballs y archivos de configuración.

Registro de contenedores con escaneo de vulnerabilidades integrado, firma de contenido y RBAC.

Repositorio seguro de artefactos con controles de acceso.

Gestión de repositorios binarios con permisos granulares.

Monitorea el sistema de archivos para detectar cambios no autorizados.

Crea una línea base de archivos y detecta alteraciones.

Detecta actividad sospechosa en entornos de Kubernetes o contenedores, incluyendo cambios de archivos.

Aplica políticas basadas en roles para el despliegue de imágenes de contenedores.

Autenticación/autorización centralizada para registros de artefactos y sistemas CI/CD.

Plataforma SIEM que monitorea registros de acceso y alerta sobre anomalías.

Rastrea qué versión de un servicio se despliega dónde y la vincula con su SBOM firmado.

Genera SBOMs para artefactos desplegados para verificación posterior.

Monitorea componentes en artefactos desplegados frente a feeds de CVE.

Registro de contenedores con políticas de retención de imágenes, RBAC y confianza de contenido.

Repositorio de artefactos para almacenar binarios y dependencias.

Gestión de binarios con retención y control de acceso.

Etiquetar y almacenar binarios de lanzamiento, SBOMs y checksums.

Firmar y verificar imágenes de contenedores, SBOMs y otros artefactos.

Registro de transparencia inmutable para todos los artefactos y metadatos firmados.

Firmar y verificar tarballs, binarios o archivos SBOM.

Proporcionar verificación de procedencia de construcción de extremo a extremo.

Mapea servicios desplegados a versiones específicas y sus SBOMs.

Genera SBOMs a partir de artefactos desplegados.

Kit de utilidades SBOM / cadena de suministro: procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.

Monitorea continuamente SBOMs para nuevos CVEs en versiones preservadas.

Comprobador de integridad del sistema de archivos para detectar cambios en artefactos almacenados.

Establecer línea base y monitorear directorios de lanzamiento almacenados para modificaciones.

SIEM que audita la actividad del repositorio de artefactos.

Auditoría a nivel Linux para accesos a archivos de lanzamiento preservados.

Restringir quién puede subir o modificar artefactos en los registros.

Genera SBOMs desde contenedores, VMs o sistemas de archivos desplegados (formatos SPDX & CycloneDX).

Crear SBOMs y escanear vulnerabilidades en sistemas desplegados.

Registrar pasos de construcción y metadatos de la cadena de suministro como archivos “link” firmados.

Capturar procedencia de construcción y despliegue como certificaciones firmadas.

Firmar SBOMs y metadatos para distribución offline o privada.

Almacenar firmas y certificaciones en un registro público e inmutable.

Detectar cambios no autorizados en archivos de procedencia almacenados localmente.

Detectar cambios no autorizados en archivos de procedencia almacenados localmente.

Versionar y rastrear servicios desplegados y sus SBOMs; vincularlos a entornos y lanzamientos. Acceso API/UI para compartir historial de SBOM y componentes de lanzamientos específicos.

Monitorear continuamente SBOMs preservados para nuevos CVEs.

Adjuntar SBOMs y firmas a imágenes de contenedores en un registro.

Alojar y validar SBOMs en una interfaz web accesible.

Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.

Análisis estático y dinámico que puede ejecutarse contra bases de código desplegadas en entornos espejo de staging para detectar patrones inseguros.

Escáner de seguridad de aplicaciones web para aplicaciones desplegadas.

Pruebas activas y pasivas de aplicaciones en vivo para detectar vulnerabilidades.

Valida que las aplicaciones desplegadas cumplan con estándares de codificación segura.

Sincronización cada 10 minutos con OSV.dev para detectar nuevas vulnerabilidades en artefactos desplegados.

Escanea sistemas para verificar cumplimiento con líneas base relacionadas con codificación segura.

Registro y monitoreo: detecta comportamiento inseguro en tiempo de ejecución (por ejemplo, llamadas al sistema inseguras).

Monitorea logs de la aplicación y del sistema operativo para eventos relacionados con seguridad.

Captura llamadas de sistema de bajo nivel relacionadas con la ejecución de código.

Genera SBOMs para aplicaciones desplegadas con monitoreo continuo.

Hoppr es un kit de utilidades de SBOM / cadena de suministro: el procesamiento y movimiento de “materiales” de la cadena de suministro se alinea con la recolección, mantenimiento y compartición de procedencia.

Rastrea continuamente SBOMs para detectar nuevas vulnerabilidades

Escanea contenedores/sistemas de archivos desplegados para CVEs conocidas en código y dependencias.

Escaneo enfocado de vulnerabilidades para artefactos desplegados.

Verifica que los contenedores y binarios desplegados hayan sido firmados en tiempo de compilación.

Almacena datos de verificación y attestations en un log evidente ante manipulaciones.

Garantiza que el código desplegado coincida con los pasos revisados del pipeline de build.

Monitorea archivos desplegados para detectar cambios no autorizados.

Revisa código desplegado en espejo para detectar problemas de seguridad o violaciones de políticas.

Consultas avanzadas de código para detectar patrones de vulnerabilidad.

Escaneo de vulnerabilidades web contra endpoints desplegados.

Rastrea vulnerabilidades en endpoints en vivo para tiempos de remediación rápidos.

Pruebas DAST automatizadas y manuales para aplicaciones en vivo.

Escaneo de vulnerabilidades enfocado en servidores.

Mapea resultados a líneas base de cumplimiento.

Rastrea vulnerabilidades encontradas durante revisiones posteriores al despliegue y las vincula con la remediación.

Almacena reportes de vulnerabilidades firmados y metadatos de commits de parches.

Registra de forma inmutable resultados de escaneo, remediaciones y firmas.

La auditoría y retención de evidencia rastrea qué entornos están ejecutando qué versión, permitiendo el redespliegue dirigido de builds parchados.

Escanea contenedores en ejecución, sistemas de archivos y clústeres Kubernetes; también genera SBOMs.

Escaneo de vulnerabilidades impulsado por SBOM para imágenes y directorios.

Monitorea registros de contenedores para detectar imágenes vulnerables.

Escaneo de vulnerabilidades de red y hosts.

Genera SBOMs desde entornos desplegados.

Monitorea SBOMs para detectar nuevos CVEs y violaciones de políticas.

Escaneo de vulnerabilidades basado en Nix a partir de entradas SBOM.

Controlador de admisión nativo de Kubernetes que aplica umbrales de vulnerabilidad.

Detecta anomalías en tiempo de ejecución que pueden indicar explotación.

Escaneo de vulnerabilidades enfocado en servidores.

Automatiza redespliegues de contenedores cuando se publica una nueva imagen.

Reinicios automatizados de nodos Kubernetes para parcheo del kernel.

Centraliza datos de vulnerabilidades provenientes de escáneres; asigna tareas de remediación y rastrea SLAs.

Respuesta a incidentes y coordinación para eventos urgentes de vulnerabilidades.

Escaneos continuos de contenedores desplegados, sistemas de archivos y clústeres Kubernetes.

Detecta CVEs en SBOMs o imágenes desplegadas.

Escaneo continuo de vulnerabilidades para imágenes en registros.

Genera SBOMs desde sistemas en ejecución para monitoreo continuo.

Define y ejecuta validaciones de cumplimiento (CIS, NIST, políticas específicas de la organización) contra entornos desplegados.

Evalúa sistemas en ejecución contra líneas base de seguridad.

Valida despliegues de Kubernetes contra benchmarks CIS.

Identifica posibles rutas de ataque en clústeres Kubernetes desplegados.

Detecta cambios en tiempo de ejecución en archivos, procesos y comportamiento de red.

Monitoreo de integridad de archivos para asegurar que binarios/configuraciones no sean alterados.

Consulta el estado del sistema para detectar cambios de configuración no autorizados.

Aplica políticas continuas de cumplimiento en tiempo de ejecución.

Motor de políticas nativo de Kubernetes para prevenir actualizaciones inseguras.

Centraliza resultados de verificación y rastrea problemas a lo largo del tiempo.

Almacena reportes de verificación firmados en un registro a prueba de manipulaciones.

Trivy ejecuta escaneos semanales sobre todas las imágenes de contenedores y hosts de producción → los resultados son firmados y registrados en Rekor.

Regenera SBOMs para artefactos desplegados y marca nuevos CVEs.

Puntuación CVSS + asignación de SLA a los responsables.

Reconstrucción/redespliegue automático cuando haya imágenes parchadas disponibles.

Reinicios automatizados de nodos Kubernetes para parcheo del kernel.

Usa despliegues canary/escalonados para versiones parchadas.

Ejecuta escaneos programados en contenedores en ejecución, máquinas virtuales y registros; se integra con monitoreo de SBOM.

Almacena registros firmados de detección, triage, corrección y verificación.

Ejecuta SAST contra el código exacto vinculado a los binarios desplegados; incluye escaneo de dependencias.

Vuelve a ejecutar el análisis de código en espejos de producción.

Mantiene registros inmutables de todas las revisiones, aprobaciones y ejecuciones de análisis automatizado.

Commits firmados, historial de ramas protegidas y resultados de escaneo.

Escanea contenedores y sistemas de archivos desplegados para detectar CVEs conocidas en código y dependencias.

Escaneo enfocado de vulnerabilidades para artefactos desplegados.

Sincronización cada 10 minutos con OSV.dev para detección de nuevas vulnerabilidades en artefactos desplegados.

Escaneo de vulnerabilidades de red y hosts.

Mapea resultados de escaneo a estándares de seguridad (NIST, CIS, OWASP ASVS).

Resultados de escaneo de cumplimiento, perfiles base, documentación de excepciones.

DAST, fuzzing y monitoreo en tiempo de ejecución para detectar comportamiento inseguro.

Reportes de DAST y fuzzing.

Monitorea continuamente drift en configuraciones de contenedores.

Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).

Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).

Monitorea continuamente cambios de configuración; alerta o autorremedia desviaciones.

Logs de detección de drift y acciones de remediación.

Policy-as-code y gestión de configuración para asegurar que todos los despliegues coincidan con la línea base.

Playbooks de configuración, logs de enforcement e historial de cambios de políticas.

Almacena resultados de escaneo firmados y registros de detección de drift en sistemas evidentes ante manipulaciones.

Se integra con SBOMs en vivo para detectar y alertar vulnerabilidades después del despliegue.

Vincula las vulnerabilidades detectadas directamente con versiones desplegadas del servicio para trazabilidad.

Centro de gestión de vulnerabilidades con métricas y seguimiento.

Identifica vulnerabilidades en imágenes ya desplegadas en entornos Kubernetes o Docker.

Funciona con SBOMs generados por Syft para comprobar continuamente nuevos CVEs.

Proporciona escaneos programados de cumplimiento junto con escaneos de vulnerabilidades.

Ayuda a los equipos a priorizar la remediación filtrando vulnerabilidades no explotables.

Genera SBOMs en vivo para ser consumidos por herramientas como Dependency-Track o Grype.

Kit de herramientas de cadena de suministro y SBOM que permite gestionar y mover artefactos de procedencia.

Centraliza la puntuación de riesgo, la gestión de flujos de trabajo y el seguimiento del progreso de remediación.

Proporciona priorización de vulnerabilidades en tiempo real e integración con sistemas de seguimiento de issues.

Permite priorización y evaluación de impacto de vulnerabilidades según el entorno desplegado.

Aplicación de SLAs de remediación y automatización del despliegue de versiones corregidas.

Escaneo continuo e integración con CI/CD para promover artefactos parcheados.

Asegura que ninguna vulnerabilidad quede sin una acción de remediación rastreada.

Proporciona señales en tiempo real para priorizar correcciones de seguridad operativa.

Soporta análisis forense rastreando cuándo y dónde un componente vulnerable ingresó al sistema.

Mantiene datos históricos para identificar tendencias en el origen de vulnerabilidades.

Soporta trazabilidad forense y análisis de responsabilidad en la causa raíz.

Permite análisis de diferencias de SBOM para investigaciones de causa raíz.

Ayuda a determinar si las vulnerabilidades provienen de problemas a nivel de código.

Permite mapear la causa raíz hacia debilidades de configuración del sistema.

Proporciona contexto temporal para análisis de líneas de tiempo de la causa raíz.

Soporta inspección profunda durante análisis forense de vulnerabilidades.