Tag
OSV-Scanner se ha convertido en una referencia silenciosa para escanear dependencias open source. Su valor no está en el escaneo en sí, que muchas herramientas ofrecen, sino en su conexión directa con OSV.dev como fuente de verdad. Un análisis de por qué esto importa más de lo que parece.
La gestión de superficie de ataque basada en CVE ha pasado de lista abstracta a práctica de ingeniería con prioridad real. Repasamos cómo funciona cuando EPSS, KEV y contexto de exposición entran en la misma ecuación.
Después de años acumulando SBOMs, el cuello de botella es filtrar qué CVEs afectan de verdad. VEX aparece como la pieza que convierte el ruido en señal, y en 2025 empieza a tener adopción real en pipelines de supply chain.
Trivy y Grype llevan tiempo compitiendo por ser el escáner de contenedores de referencia. Tras un año de uso intensivo en CI, toca contar qué hace bien cada uno.
Docker Scout analiza imágenes de forma continua contra bases de CVE y sugiere remediaciones. Compite con Trivy, Grype y Snyk. Cuándo encaja y qué renuncias implica.
