Chyby zabezpečení objevené v organizacích s produkčními náklady, které je třeba opravit, jsou řádově náročnější než ty, které byly zachyceny během vývoje. To není nový poznatek – je to základní argument za bezpečností posunu doleva. Ale v roce 2026, s kódem generovaným umělou inteligencí, rozlehlými architekturami mikroslužeb a útoky na dodavatelské řetězce, které se každý čtvrt rok dostaly na titulky, se skenování zranitelnosti v kanálech DevOps posunulo z „hezkého mít“ na nesmlouvavou inženýrskou praxi.
Krajina nástrojů značně dospěla. Už si nevybíráte mezi pomalým, monolitickým skenerem, který spustíte jednou za sprint, a doufáte v to nejlepší. Nejlepší nástroje dneška se nativně integrují do vašeho IDE, pracovního toku žádostí, registru kontejnerů a fáze plánu IaC – poskytují nepřetržitou zpětnou vazbu bez blokování rychlosti vývojářů.
Tato příručka pokrývá šest nejdůležitějších nástrojů pro skenování zranitelnosti pro týmy DevOps a DevSecOps v roce 2026: co každý z nich umí nejlépe, kde nedosahuje, jaká je cena a pro jaké případy použití je optimalizován. Pokud budujete potrubí CI/CD a chcete do něj zabudovat zabezpečení od začátku, toto je vaše reference.
Související: Pokud vás znepokojuje kódování pomocí umělé inteligence, které zavádí nové rizikové vektory, podívejte se na náš podrobný popis bezpečnostní rizika kódování vibrací v roce 2026.
TL;DR — Srovnání na první pohled
| Nástroj | Kontejner | IaC | SAST (kód) | SCA (OSS) | Tajemství | Ceny |
|---|---|---|---|---|---|---|
| Trivy | ✅ | ✅ | ⚠️ | ✅ | ✅ | Zdarma / OSS |
| Snyk | ✅ | ✅ | ✅ | ✅ | ✅ | Zdarma → 25 $/dev/měsíc |
| Grype | ✅ | ❌ | ❌ | ✅ | ❌ | Zdarma / OSS |
| OWASP Dep-Check | ❌ | ❌ | ❌ | ✅ | ❌ | Zdarma / OSS |
| Semgrep | ❌ | ⚠️ | ✅ | ✅ | ✅ | Zdarma → Tým (vlastní) |
| Checkov | ⚠️ | ✅ | ❌ | ❌ | ✅ | Zdarma / OSS + Prisma Cloud |
⚠️ = částečná nebo omezená podpora
Proč je skenování zranitelnosti Shift-Left důležité v roce 2026
NIST citované „pravidlo 1:10:100“ popisuje, jak náklady na defekty řádově rostou, čím později jsou objeveny: oprava zranitelnosti zachycená při kontrole kódu stojí zhruba 10× méně než oprava nalezené v QA a 100× méně než chyba odhalená ve výrobě. Zatímco přesné multiplikátory se liší podle organizace, směrová pravda je dobře zavedena a podporována desetiletími výzkumu softwarového inženýrství.
V roce 2026 jsou tlaky ještě akutnější:
- Kód generovaný AI se dodává rychleji, ale může zavádět jemné zranitelnosti, které recenzenti postrádají – nástroje jako asistenti kontroly kódu AI a skenery SAST zachytí to, co lidé ne.
- Rozrůstání závislostí na otevřeném zdroji znamená, že typický projekt Node.js nebo Python může vytvořit tisíce přechodných závislostí, z nichž každá představuje potenciální riziko dodavatelského řetězce.
- IaC zvyšuje riziko nesprávné konfigurace: Diagramy Terraform, CloudFormation a Helm kódují celou vaši infrastrukturu. Jediný chybějící příznak
šifrování = truese v době auditu stává selháním souladu. - Aktuálnost obrázku kontejneru: Základní obrázky jsou zastaralé. Chyba zabezpečení v
ubuntu:22.04ovlivňuje každou službu na něm postavenou, dokud ji někdo znovu neproskenuje a znovu sestaví.
Níže uvedené nástroje řeší tyto problémy v různých vrstvách zásobníku. Nejvyspělejší programy DevSecOps používají alespoň dva nebo tři v kombinaci.
1. Trivy — Nejlepší OSS skener vše v jednom
Trivy (spravovaný společností Aqua Security) se stal de facto standardem pro skenování zranitelnosti open source v prostředích nativních kontejnerů a cloudu. To, co začalo jako skener obrázků kontejnerů, se vyvinulo v komplexní bezpečnostní nástroj, který zahrnuje:
- Obrázky kontejnerů – balíčky OS a závislosti specifické pro jazyk
- Souborové systémy a úložiště Git
- Soubory IaC — Terraform, CloudFormation, manifesty Kubernetes, grafy Helm
- SBOMs (Softwarový kusovník, výstup CycloneDX a SPDX)
- Detekce tajemství v souborech a proměnných prostředí
- Audit clusteru Kubernetes
Proč to týmy DevOps milují
Největší výhodou Trivy je jeho šířka v kombinaci s téměř nulovou provozní režií. Neexistuje žádná databáze, kterou by bylo možné spravovat samostatně – Trivy si stáhne svou vlastní databázi zranitelností (vytvořenou z NVD, GitHub Advisory Database a doporučení specifických pro OS) a uloží ji lokálně do mezipaměti. Krok Akce GitHub naskenuje obrázek kontejneru během několika sekund:
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: 'my-app:latest'
format: 'sarif'
output: 'trivy-results.sarif'
severity: 'CRITICAL,HIGH'
Pro
- Zcela zdarma a open source (Apache 2.0)
- Jediný binární, není potřeba žádný agent
- Vynikající integrace CI/CD (GitHub Actions, GitLab CI, Jenkins, CircleCI)
- Výstup SARIF pro integraci karty zabezpečení GitHub
- Aktivní rozvoj a velká komunita
- Generování SBOM pro soulad s dodavatelským řetězcem
Nevýhody
- SAST (analýza vlastního kódu) není v rozsahu – najde známé CVE, nikoli logické chyby
- Žádný řídicí panel SaaS nebo integrace vstupenek ihned po vybalení (potřebujete komerční platformu Aqua)
- Správa zásad v měřítku vyžaduje vlastní skriptování
Ceny
Zdarma a open source. Komerční platforma Aqua Security (Aqua Platform) rozšiřuje Trivy o runtime ochranu, SaaS dashboardy a podnikovou podporu, ale jádrový skener nestojí.
Nejlepší pro
Týmy, které chtějí skener s nulovými náklady a širokým pokrytím pro kanály CI/CD, zejména ty, které již používají kontejnery a IaC. Perfektní výchozí bod pro organizace, které s DevSecOps začínají.
2. Snyk — Nejlepší pro zabezpečení na prvním místě pro vývojáře
Snyk je průkopníkem bezpečnostní filozofie „na prvním místě pro vývojáře“ – myšlenky, že bezpečnostní nástroje by měly žít tam, kde pracují vývojáři (zásuvné moduly IDE, GitHub PR, CLI), spíše než být samostatnými branami auditu. Do roku 2026 se Snyk rozrostl na platformu zabezpečení aplikací, která pokrývá:
- Snyk Open Source – SCA pro moduly npm, pip, Maven, Go a další
- Snyk Code — proprietární SAST engine se zpětnou vazbou IDE v reálném čase
- Snyk Container – skenování obrázků s doporučeními pro upgrade základního obrázku
- Snyk IaC — šablony Terraform, CloudFormation, Kubernetes, ARM
- Snyk AppRisk — prioritizace rizika aplikace
Proč to týmy DevOps milují
Nejsilnější vlastností Snyku je jeho fixní vedení. Když najde zranitelnou závislost, neoznámí pouze CVE – přesně vám řekne, která aktualizace verze to vyřeší, zda tato aktualizace naruší vaše API a otevře automatický požadavek na stažení. Pro týmy, které tráví značný čas tříděním a nápravou zranitelnosti, to dramaticky snižuje únavu z upozornění.
Engine Snyk Code SAST je také pozoruhodně rychlý ve srovnání s tradičními nástroji pro statickou analýzu a vrací výsledky inline v IDE VS Code nebo JetBrains během několika sekund, nikoli minut.
Pro
- Jednotná platforma pokrývající SCA, SAST, kontejner a IaC v jednom řídicím panelu
- Automatická oprava PR – skutečně užitečné, nejen hluk
- Nejlepší integrace IDE ve své třídě (VS Code, IntelliJ, Eclipse)
- Silná integrace Jira/Slack pro pracovní postupy třídění
- Stanovení priorit na základě analýzy dosažitelnosti (je zranitelná funkce skutečně nazývána?)
- Certifikováno SOC 2 Type II, v souladu s GDPR
Nevýhody
- Limity bezplatné úrovně: 200 testů open source/měsíc, žádné hlášení SAST nebo IaC
- Může se prodražit ve velkém měřítku – podnikové ceny vyžadují cenovou nabídku
- Některým týmům před vyladěním zásad zahlcuje pouhá šíře upozornění
- Samoobslužný SCM (GitHub Enterprise Server, GitLab on-prem) vyžaduje plán Ignite nebo vyšší
Ceny
- Zdarma: Až 10 přispívajících vývojářů, 200 testů OSS/měsíc, integrace IDE + SCM
- Tým: Od ~25 $/přispívající vývojář/měsíc (až 10 vývojářů), 1 000 testů OSS/měsíc, integrace Jira
- Ignite: Pro organizace do 50 let, vývojáře, kteří potřebují podnikové funkce (vlastně hostované SCM, reporting)
- Enterprise: Vlastní ceny, neomezený počet vývojářů, vlastní zásady, vyhrazená podpora
Nejlepší pro
Vývojářské týmy, které chtějí použitelné pokyny k opravám začleněné do jejich stávajícího pracovního postupu GitHub/GitLab a jsou ochotny zaplatit za dokonalou vývojářskou zkušenost. Zvláště silné pro ekosystémy JavaScript, Python a Java.
3. Grype — Nejlepší lehký OSS kontejner/SCA skener
Grype (od Anchore) je rychlý a zaměřený skener zranitelnosti pro obrázky kontejnerů a souborové systémy. Na rozdíl od přístupu Trivy „skenovat vše“ je Grype záměrně zaměřen na detekci CVE v balíčcích – tuto jednu práci dělá velmi dobře a je běžně spárován s Syft (generátor SBOM společnosti Anchore) pro komplexní analýzu dodavatelského řetězce.
Klíčové vlastnosti
- Skenuje obrazy kontejnerů, archivy OCI, démona Docker a souborové systémy
- Hluboká podpora jazykových balíčků: Python, Ruby, Java JARs, npm, .NET, Go binární soubory
- Integruje se se Syft pro SBOM-first workflow (generovat SBOM jednou, skenovat opakovaně)
- Filtrování shody podle závažnosti, názvu balíčku nebo CVE ID
- Výstupní formáty SARIF, JSON a tabulky
Pro
- Extrémně rychlé – vhodné pro omezené časové rozpočty CI/CD
- Vynikající binární skenování Go (detekuje zranitelné verze stdlib v kompilovaných binárních souborech)
- Čistý výstup JSON, snadné propojení do zásad
- Lehký – jeden binární soubor, žádný démon
- Silná integrace s Anchore Enterprise pro řídicí panel SaaS + správa zásad
Nevýhody
- Žádné skenování IaC, žádné SAST
- Žádné odhalení tajemství
- Vrstva správy SaaS vyžaduje Anchore Enterprise (komerční)
- Menší sada pravidel než Trivy pro některé poradní databáze OS
Ceny
Bezplatné a open source (Apache 2.0). Anchore Enterprise přidává správu SaaS, reporting shody a runtime ochranu za komerční ceny.
Nejlepší pro
Týmy, které chtějí rychlý, skriptovatelný skener CVE, který se čistě integruje s pracovními postupy SBOM. Obzvláště vhodné pro organizace, které přijaly SBOM-first bezpečnostní pozici podle Executive Order 14028 (americké federální požadavky na dodavatelský řetězec softwaru).
4. OWASP Dependency-Check — Nejlepší pro Java/JVM Ecosystems
OWASP Dependency-Check je zkušený nástroj SCA, který identifikuje závislosti projektu a kontroluje známá, veřejně odhalená zranitelnost. Je obzvláště silný v ekosystémech v jazyce JVM (Java, Kotlin, Scala, Groovy) a má nativní podporu pluginů Maven a Gradle.
Klíčové vlastnosti
- Podporuje Java, .NET, JavaScript (npm), Ruby a další
- NVD (National Vulnerability Database) jako primární zdroj
- Formáty zpráv HTML, XML, JSON, CSV, SARIF
- Maven plugin, Gradle plugin, Ant task, CLI
- Potlačení falešně pozitivních výsledků pomocí konfigurace XML
Pro
- Zcela zdarma, řízeno OWASP (bez uzamčení dodavatele)
- Nativní integrace Maven/Gradle – není potřeba žádný další krok CI
- Vynikající audit trail pro účely dodržování předpisů
- široce akceptováno v regulovaných odvětvích (bankovnictví, zdravotnictví)
Nevýhody
- Pomalé při prvním spuštění (stahuje velké datové soubory NVD); následné spuštění do místní mezipaměti
- Limity rychlosti NVD API mohou způsobit zpoždění kanálu, pokud nejsou správně nakonfigurovány pomocí klíče API
- Omezeno na známé CVE – nesprávné konfigurace a tajemství jsou mimo rozsah
- Uživatelské rozhraní/přehledy jsou funkční, ale zastaralé ve srovnání s komerčními alternativami
- Nevhodné pro polyglotní monorepos s mnoha ekosystémy
Ceny
Bezplatné a open source (Apache 2.0).
Nejlepší pro
Java-heavy týmy v regulovaných odvětvích, které potřebují auditovatelný nástroj SCA s nulovými náklady, který se přirozeně integruje se sestaveními Maven nebo Gradle.
5. Semgrep — Nejlepší pro vlastní pravidla SAST
Semgrep je rychlý nástroj pro statickou analýzu s otevřeným zdrojovým kódem, který umožňuje bezpečnostním a inženýrským týmům psát vlastní pravidla v jednoduchém a čitelném vzorovém jazyce. Podporuje více než 30 jazyků a má registr tisíců komunitních a profesionálních pravidel pro zjišťování bezpečnostních slabin, zneužití API a problémů s kvalitou kódu.
Klíčové vlastnosti
- SAST (Statické testování zabezpečení aplikací) – najde chyby ve vašem vlastním kódu
- SCA — prostřednictvím Semgrep Supply Chain (analýza závislostí OSS s dosažitelností)
- Detekce tajemství — přes Semgrep Secrets
- Vlastní tvorba pravidel v intuitivní syntaxi vzoru
- Analýza toku dat pro snížení falešných poplachů
- rozšíření IDE (VS Code, IntelliJ)
Proč to týmy DevOps milují
Semgrep’s killer feature is rule customizability without complexity. Zápis pravidla pro označení eval() v Pythonu nebo přiřazení innerHTML v JavaScriptu zabere minuty, ne dny učení proprietárního DSL. Bezpečnostní šampioni integrovaní do produktových týmů mohou vytvářet pravidla pro specifické vzory vlastní kódové základny a vytvářet tak živou bezpečnostní politiku, která se vyvíjí s kódem.
Analýza dosažitelnosti v Semgrep Supply Chain je také obzvláště užitečná: potlačuje výstrahy OSS CVE tam, kde je zranitelná funkce importována, ale ve skutečnosti nikdy není volána, a snižuje tak šum o smysluplnou rezervu.
Pro
- Rychlý – navržený tak, aby běžel na každém PR s subsekundovou analýzou na soubor
- Formát pravidla agnostického jazyka – jedna dovednost platí pro Python, JS, Go, Java atd.
- Velký registr pravidel komunity (Semgrep Registry)
- Filtrování dosahu pro SCA (méně falešně pozitivních upozornění)
- Výstup SARIF, integrace pokročilého zabezpečení GitHub
- Zdarma až pro 10 přispěvatelů
Nevýhody
- Nejedná se o kontejner nebo skener IaC (některá pravidla IaC existují, ale pokrytí je omezené)
- Analýza toku dat může vynechat některé složité vzorce zranitelnosti
- Podnikové funkce (Tajemství, Supply Chain PRO, řízené skenování) vyžadují týmový/podnikový plán
- Kvalita pravidel v rejstříku komunity se liší – nutná prověrka
Ceny
- Zdarma (komunita): Až 10 přispěvatelů, SAST přes Semgrep Code, základní SCA
- Tým: Vlastní ceny, pokročilé SCA (Semgrep Supply Chain), Semgrep Secrets, pracovní postupy třídění
- Enterprise: Vlastní ceny, spravované skenování, jednotné přihlašování, protokoly auditu, vyhrazená podpora
Nejlepší pro
Inženýrské týmy, které chtějí zakódovat bezpečnostní znalosti jako vlastní pravidla a spustit rychlý SAST při každém odevzdání. Vynikající také jako vrstva na skeneru kontejnerů, jako je Trivy – pokrývající vrstvu kódu, kterou Trivy nemá.
6. Checkov — Nejlepší pro bezpečnostní skenování IaC
Checkov (od Bridgecrew/Palo Alto Networks) je přední open source nástroj pro zabezpečení Infrastructure as Code. Kontroluje Terraform, CloudFormation, Kubernetes manifesty, Helm grafy, ARM šablony, Bicep, Serverless framework a další proti stovkám vestavěných zásad odvozených z CIS benchmarků, NIST, PCI-DSS, SOC2 a HIPAA frameworků.
Klíčové vlastnosti
- Více než 1 000 integrovaných zásad ve všech hlavních rámcích IaC
- Vlastní tvorba zásad v Pythonu nebo YAML
- Grafová analýza pro Terraform (zachycuje problémy, které vyžadují pochopení vztahů mezi zdroji)
- SARIF, JUnit XML, výstup JSON
- Příznak
--soft-failpro postupné přijetí bez přerušení kanálů - Integrace s Prisma Cloud pro správu zásad SaaS a reporting
Proč to týmy DevOps milují
Checkov běží ve fázi „plánu terraform“ – před zřízením infrastruktury – což z něj činí první možnou bránu pro zachycení chybné konfigurace cloudu. Typická kontrola zachycuje věci jako:
- S3 bloky bez šifrování na straně serveru povoleny
- Skupiny zabezpečení s ingresí
0.0.0.0/0na portu 22 - Moduly Kubernetes běžící jako root
- Instance RDS bez ochrany proti vymazání
- Funkce lambda s příliš tolerantními rolemi IAM
Jedná se o světské nesprávné konfigurace, které způsobují většinu narušení cloudu – nikoli zneužívání zero-day, ale základní hygienická selhání, která automatické vynucování zásad eliminuje.
Pro
- Zcela zdarma a open source (Apache 2.0)
- Nejširší pokrytí rámcem IaC ze všech nástrojů s otevřeným zdrojovým kódem
- Analýza Terraform založená na grafech zachycuje problémy s více zdroji
- Snadné filtrování
--frameworka--checkpro postupné přijetí - Silná integrace CI/CD: GitHub Actions, GitLab CI, Jenkins, pre-commit hooks
- Integrace Prisma Cloud pro týmy, které potřebují správu SaaS
Nevýhody
- Omezeno na IaC – nejedná se o skener kontejnerů nebo nástroj SAST
- Tvorba vlastních zásad v Pythonu vyžaduje inženýrské úsilí
- Velké sady zásad vytvářejí hlučný výstup ve starších kódových základnách (zpočátku použijte
--soft-fail) - Komerční vrstva Prisma Cloud (pro řídicí panely a detekci posunu) je drahá
Ceny
Bezplatné a open source (Apache 2.0). Prisma Cloud (Palo Alto Networks) poskytuje podnikovou vrstvu SaaS s detekcí posunu, správou potlačení a řídicími panely shody – ceny na základě vlastní nabídky.
Nejlepší pro
Týmy pro vývoj platforem a infrastruktury, které chtějí předejít chybným konfiguracím cloudu před nasazením jako součást pracovního postupu řízeného GitOps nebo Terraformem. Funguje krásně spolu s nástroji GitOps.
Tipy pro integraci CI/CD
Získání skenování zranitelnosti do vašeho kanálu bez zničení rychlosti vývojářů vyžaduje určité přemýšlení. Zde jsou vzory, které fungují dobře:
Rychlé selhání na KRITICKÉ, Varování na VYSOKÉ
Neblokujte PR na každém středním CVE – způsobíte únavu a vývojáři budou pracovat kolem bran. Praktický práh:
- KRITICKÉ: Těžké selhání, sloučení bloků
- VYSOKÉ: Mírné selhání, komentujte PR s podrobnostmi
- STŘEDNÍ/NÍZKÁ: Pouze zpráva, žádný blok sloučení
Většina nástrojů podporuje filtrování závažnosti pomocí příznaků CLI (--severity CRITICAL,HIGH v Trivy, --fail-on kritické v Grype).
Používejte ukládání do mezipaměti, aby bylo skenování rychlé
Trivy i Grype udržují místní databáze zranitelnosti. Uložte do mezipaměti CI adresáře ~/.cache/trivy nebo ~/.cache/grype, abyste se vyhnuli stahování celé databáze při každém spuštění. To výrazně zkracuje dobu skenování.
Skenování ve více bodech
Nejúčinnější skenování kanálů DevSecOps v několika fázích:
- IDE/pre-commit – plugin Snyk IDE nebo Semgrep zachytí problémy při psaní kódu
- PR kontrola — Trivy/Grype u změněných kontejnerů, Semgrep SAST u změněných souborů, Checkov u změněného IaC
- Registry push — Kompletní trivy skenování finálního obrázku před odesláním do vašeho registru kontejnerů
- Naplánováno – Noční úplné repo skenování pomocí Snyk nebo Trivy pro zachycení nově publikovaných CVE proti připojeným závislostem
Exportujte SARIF pro centralizovanou viditelnost
Trivy, Grype, Semgrep a Checkov všechny podporují výstup SARIF. Karta Zabezpečení na GitHubu zpracovává SARIF nativně, což vám poskytuje centralizovaný pohled na zjištění napříč všemi nástroji bez samostatného SIEM nebo bezpečnostního panelu. Toto je nejjednodušší cesta ke konsolidované viditelnosti zranitelnosti pro týmy nativní GitHub.
Doporučené kombinace nástrojů podle případu použití
| Use Case | Doporučený zásobník |
|---|---|
| Spuštění, vše v jednom, nulový rozpočet | Trivy + Semgrep (oba OSS) |
| Podniky využívající Java, zaměření na dodržování předpisů | Trivy + OWASP Dependency-Check + Checkov |
| Priorita zkušenosti vývojáře, dostupný rozpočet | Snyk (všechny moduly) |
| Polyglot codebase, vlastní bezpečnostní pravidla | Semgrep + Trivy |
| Tým platformy Terraform těžkého IaC | Checkov + Trivy |
| Shoda SBOM-první dodavatelský řetězec | Syft + Grype + Trivy |
| Úplná vyspělost DevSecOps | Trivy + Semgrep + Checkov + Snyk |
Pro týmy začínající od nuly pokrývá kombinace Trivy + Semgrep nejširší plochu s nulovými náklady: Trivy zpracovává kontejnery, IaC a OSS CVE; Semgrep zpracovává vlastní pravidla SAST pro kód vaší aplikace. Přidejte Checkov, pokud spravujete významnou infrastrukturu Terraform, a vyhodnoťte Snyk, když tým potřebuje vylepšené vývojářské uživatelské prostředí s automatickými opravami PR.
Další čtení
Chcete-li hlouběji porozumět principům zabezpečení těchto nástrojů, stojí za to mít na stole tyto knihy:
– Container Security by Liz Rice – definitivní reference pro pochopení zabezpečení kontejnerů od jádra nahoru. Základní čtení pro každého, kdo vlastní strategii zabezpečení kontejnerů.
- Hacking: The Art of Exploitation od Jona Ericksona – pochopení toho, jak si útočníci myslí, z vás dělají lepšího obránce. Důrazně se doporučuje pro inženýry DevSecOps, kteří chtějí pochopit „proč“ za hodnocením závažnosti CVE.
Viz také: Nástroje pro optimalizaci nákladů na cloud pro rok 2026 — protože infrastruktura bezpečnostního skenování má svou vlastní nákladovou stopu, kterou stojí za to optimalizovat. A AI Code Review Tools 2026 pro doplňkovou lidskou stránku prevence zranitelnosti.
Často kladené otázky
Jaký je nejlepší bezplatný nástroj pro skenování zranitelnosti pro kanály DevOps v roce 2026?
Trivy je nejuniverzálnější bezplatná možnost v roce 2026. Skenuje obrazy kontejnerů, soubory IaC, souborové systémy a úložiště Git, zda neobsahují CVE, nesprávné konfigurace a tajemství – to vše s jediným nástrojem CLI a bez nákladů. Pro pokrytí SAST kódu vaší aplikace spárujte Trivy s bezplatnou komunitní úrovní Semgrep (až 10 přispěvatelů).
Jaký je rozdíl mezi SAST a SCA při skenování zranitelnosti?
SAST (Static Application Security Testing) analyzuje váš vlastní zdrojový kód na chyby zabezpečení – věci jako SQL injection, XSS vzory, nezabezpečené použití kryptografie nebo pevně zakódovaná tajemství. SCA (Software Composition Analysis) analyzuje vaše open-source závislosti třetích stran na známé CVE. Kompletní kanál DevSecOps obvykle používá obojí: nástroje SAST jako Semgrep pro váš kód a nástroje SCA jako Trivy, Grype nebo Snyk Open Source pro vaše závislosti.
Jak integruji Trivy do GitHub Actions?
Použijte oficiální aquasecurity/trivy-action. Přidejte krok do svého pracovního postupu YAML: zadejte image-ref (pro skenování kontejnerů) nebo scan-type: 'fs' pro skenování souborového systému/repo. Nastavte format: 'sarif' a nahrajte výstup do skenování kódu GitHub pomocí actions/upload-sarif, abyste viděli výsledky na kartě Zabezpečení vašeho úložiště. Nastavte závažnost: KRITICKÉ,VYSOKÁ a výstupní kód: '1', aby selhal pracovní postup u závažných zjištění.
Stojí Snyk za tu cenu ve srovnání s bezplatnými nástroji, jako je Trivy?
Záleží na prioritách vašeho týmu. Hlavními výhodami Snyku oproti bezplatným nástrojům jsou jeho automatizované požadavky na opravu (které šetří vývojářům značný čas), jeho vyleštěné integrace IDE, které odhalují problémy při psaní kódu, a jeho jednotný řídicí panel pro zjištění SCA + SAST + kontejner + IaC. Pokud na zkušenostech vývojářů a rychlosti nápravy záleží více než na nákladech na nástroje, Snyk se často vyplatí za zkrácený čas potřebný k opravě. Pro týmy s omezeným rozpočtem nebo pro ty, kteří mají rádi nástroje CLI, pokrývá Trivy + Semgrep většinu stejného terénu s nulovými náklady.
Co znamená ‘shift-left security’ v DevOps?
Zabezpečení Shift-left znamená posunutí bezpečnostních kontrol dříve v životním cyklu vývoje softwaru – doleva na tradiční vodopádové časové ose. Namísto spouštění bezpečnostních skenů pouze před produkčními verzemi spouštějí postupy Shift-left skenování zranitelnosti v vývojářském vývojovém prostředí, při každém požadavku na stažení a v každé fázi procesu CI/CD. Cílem je zachytit zranitelnosti, když je to nejlevnější opravit: před sloučením kódu, ne po jeho nasazení.
Může Checkov skenovat manifesty Kubernetes stejně jako Terraform?
Ano. Checkov podporuje manifesty Kubernetes YAML, grafy Helm, soubory Kustomize, Terraform, CloudFormation, šablony ARM, Bicep, Ansible a několik dalších formátů IaC. Použijte příznak --framework k omezení skenování na konkrétní rámce. U Kubernetes Checkov kontroluje běžné chybné konfigurace zabezpečení, jako jsou pody spuštěné jako root, chybějící limity zdrojů a kontejnery s povoleným hostNetwork nebo hostPID.
Jak často bych měl spouštět kontroly zranitelnosti v kanálu DevOps?
Nejlepší praxí v roce 2026 je skenovat ve více bodech: lehký SAST v IDE při psaní kódu, úplné skenování při každém požadavku na stažení, skenování v čase push registru kontejneru a plánované noční nebo týdenní skenování všech připojených závislostí pro zachycení nově publikovaných CVE. Nové zranitelnosti jsou zveřejňovány denně, takže i kód, který minulý týden prošel kontrolou, může být zranitelný již dnes, pokud je publikován nový CVE proti jedné z jeho závislostí.