Le vulnerabilità della sicurezza scoperte nella produzione costano alle organizzazioni ordini di grandezza maggiori da risolvere rispetto a quelle rilevate durante lo sviluppo. Questa non è un’intuizione nuova: è l’argomento fondamentale alla base della sicurezza spostata a sinistra. Ma nel 2026, con il codice generato dall’intelligenza artificiale, le tentacolari architetture di microservizi e gli attacchi alla supply chain che fanno notizia ogni trimestre, la scansione delle vulnerabilità nelle pipeline DevOps è passata da “bello da avere” a una pratica ingegneristica non negoziabile.
Il panorama degli utensili è notevolmente maturato. Non devi più scegliere tra uno scanner lento e monolitico che esegui una volta per sprint e speri per il meglio. I migliori strumenti di oggi si integrano in modo nativo nel tuo IDE, nel flusso di lavoro delle richieste pull, nel registro dei contenitori e nella fase del piano IaC, fornendo feedback continuo senza bloccare la velocità degli sviluppatori.
Questa guida illustra i sei strumenti di scansione delle vulnerabilità più importanti per i team DevOps e DevSecOps nel 2026: cosa fa meglio ciascuno, dove non è all’altezza, qual è il suo prezzo e per quali casi d’uso è ottimizzato. Se stai creando una pipeline CI/CD e desideri integrare la sicurezza fin dall’inizio, questo è il tuo riferimento.
Correlato: Se sei preoccupato per l’introduzione di nuovi vettori di rischio da parte della codifica assistita dall’intelligenza artificiale, consulta il nostro approfondimento sui rischi per la sicurezza della codifica di vibe nel 2026.
TL;DR — Confronto in breve
| Attrezzo | Contenitore | IaC | SAST (codice) | SCA (OSS) | Segreti | Prezzi |
|---|---|---|---|---|---|---|
| Trivy | ✅ | ✅ | ⚠️ | ✅ | ✅ | Gratuito/OSS |
| Snyk | ✅ | ✅ | ✅ | ✅ | ✅ | Gratuito → $25/sviluppo/mese |
| Grype | ✅ | ❌ | ❌ | ✅ | ❌ | Gratuito/OSS |
| Controllo approfondito OWASP | ❌ | ❌ | ❌ | ✅ | ❌ | Gratuito/OSS |
| Segrep | ❌ | ⚠️ | ✅ | ✅ | ✅ | Gratuito → Squadra (personalizzato) |
| Checkov | ⚠️ | ✅ | ❌ | ❌ | ✅ | Gratuito / OSS + Prisma Cloud |
⚠️ = supporto parziale o limitato
Perché la scansione delle vulnerabilità spostata a sinistra è importante nel 2026
La “regola 1:10:100” citata dal NIST descrive come i costi dei difetti crescono di un ordine di grandezza man mano che vengono scoperti: una vulnerabilità rilevata durante la revisione del codice costa circa 10 volte in meno da risolvere rispetto a quella trovata nel QA e 100 volte in meno rispetto a quella scoperta in produzione. Anche se i moltiplicatori esatti variano a seconda dell’organizzazione, la verità direzionale è ben consolidata e supportata da decenni di ricerca sull’ingegneria del software.
Nel 2026, le pressioni sono ancora più acute:
- Il codice generato dall’intelligenza artificiale viene spedito più velocemente ma può introdurre sottili vulnerabilità che i revisori non notano: strumenti come assistenti per la revisione del codice AI e gli scanner SAST rilevano ciò che gli esseri umani non riescono a rilevare.
- L’espansione incontrollata delle dipendenze open source significa che un tipico progetto Node.js o Python può inserire migliaia di dipendenze transitive, ciascuna delle quali rappresenta un potenziale rischio per la catena di fornitura.
- L’IaC prolifera il rischio di errori di configurazione: i grafici Terraform, CloudFormation e Helm codificano l’intera infrastruttura. Un singolo flag “encryption = true” mancante diventa un errore di conformità al momento dell’audit.
- Aggiornamento dell’immagine del contenitore: le immagini di base diventano obsolete. Una vulnerabilità in
ubuntu:22.04colpisce ogni servizio costruito su di esso finché qualcuno non esegue nuovamente la scansione e ricostruisce.
Gli strumenti seguenti risolvono questi problemi a diversi livelli dello stack. I programmi DevSecOps più maturi ne utilizzano almeno due o tre in combinazione.
1. Trivy: il miglior scanner OSS tutto in uno
Trivy (gestito da Aqua Security) è diventato lo standard de facto per la scansione delle vulnerabilità open source in ambienti container e nativi del cloud. Ciò che era iniziato come uno scanner di immagini di contenitori si è evoluto in uno strumento di sicurezza completo che copre:
- Immagini contenitore: pacchetti del sistema operativo e dipendenze specifiche della lingua
- Filesystem e repository Git
- File IaC: Terraform, CloudFormation, manifest Kubernetes, grafici Helm
- SBOM (distinta materiali software, output CycloneDX e SPDX)
- Rilevamento di segreti in file e variabili di ambiente
- Controllo del cluster Kubernetes
Perché i team DevOps lo adorano
Il più grande vantaggio di Trivy è la sua ampiezza combinata con costi operativi prossimi allo zero. Non esiste un database da mantenere separatamente: Trivy scarica il proprio database delle vulnerabilità (creato da NVD, GitHub Advisory Database e avvisi specifici del sistema operativo) e lo memorizza nella cache locale. Un passaggio di GitHub Actions esegue la scansione di un’immagine del contenitore in pochi secondi:
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: 'my-app:latest'
format: 'sarif'
output: 'trivy-results.sarif'
severity: 'CRITICAL,HIGH'
Pro
- Completamente gratuito e open source (Apache 2.0)
- Binario singolo, nessun agente richiesto
- Eccellenti integrazioni CI/CD (GitHub Actions, GitLab CI, Jenkins, CircleCI)
- Uscita SARIF per l’integrazione della scheda Sicurezza di GitHub
- Sviluppo attivo e grande comunità
- Generazione SBOM per la conformità della catena di fornitura
Contro
- SAST (analisi del codice personalizzato) non rientra nell’ambito: trova CVE noti, non bug logici
- Nessuna dashboard SaaS o integrazione di ticketing pronta all’uso (avresti bisogno della piattaforma commerciale di Aqua)
- La gestione delle policy su larga scala richiede script personalizzati
Prezzi
Gratuito e open source. La piattaforma commerciale di Aqua Security (Aqua Platform) estende Trivy con protezione runtime, dashboard SaaS e supporto aziendale, ma lo scanner principale non ha alcun costo.
Ideale per
Team che desiderano uno scanner a costo zero e ad ampia copertura per pipeline CI/CD, in particolare quelli che già utilizzano container e IaC. Punto di partenza perfetto per le organizzazioni che non conoscono DevSecOps.
2. Snyk: il meglio per la sicurezza incentrata sugli sviluppatori
Snyk è stato il pioniere della filosofia di sicurezza “developer-first”: l’idea che gli strumenti di sicurezza dovrebbero vivere dove lavorano gli sviluppatori (plug-in IDE, GitHub PR, CLI) anziché essere controlli di controllo separati. Entro il 2026, Snyk è diventata una piattaforma completa di sicurezza delle applicazioni che copre:
- Snyk Open Source: SCA per moduli npm, pip, Maven, Go e altro ancora
- Snyk Code: motore SAST proprietario con feedback IDE in tempo reale
- Snyk Container: scansione di immagini con consigli sull’aggiornamento dell’immagine di base
- Snyk IaC: modelli Terraform, CloudFormation, Kubernetes, ARM
- Snyk AppRisk: definizione delle priorità del rischio applicativo
Perché i team DevOps lo adorano
La caratteristica più forte di Snyk è la sua guida alla correzione. Quando trova una dipendenza vulnerabile, non si limita a segnalare il CVE, ma ti dice esattamente quale aggiornamento di versione lo risolve, se quell’aggiornamento interrompe la tua API e apre una richiesta pull automatizzata. Per i team che dedicano molto tempo alla valutazione e alla risoluzione delle vulnerabilità, ciò riduce drasticamente l’affaticamento degli avvisi.
Il motore SAST di Snyk Code è inoltre notevolmente veloce rispetto ai tradizionali strumenti di analisi statica, restituendo risultati in linea in VS Code o negli IDE JetBrains in pochi secondi anziché in minuti.
Pro
- Piattaforma unificata che copre SCA, SAST, container e IaC in un’unica dashboard
- PR di correzione automatizzate: veramente utili, non solo rumore
- Integrazioni IDE migliori della categoria (VS Code, IntelliJ, Eclipse)
- Forte integrazione Jira/Slack per flussi di lavoro di triage
- Assegnazione delle priorità in base all’analisi della raggiungibilità (la funzione vulnerabile viene effettivamente chiamata?)
- Certificato SOC 2 Tipo II, conforme GDPR
Contro
- Limiti del livello gratuito: 200 test open source al mese, nessun reporting SAST o IaC
- Può diventare costoso su larga scala: i prezzi aziendali richiedono un preventivo
- Alcuni team ritengono che l’ampiezza degli avvisi sia schiacciante prima di ottimizzare le policy
- SCM self-hosted (GitHub Enterprise Server, GitLab on-prem) richiede il piano Ignite o superiore
Prezzi
- Gratuito: fino a 10 sviluppatori che contribuiscono, 200 test OSS/mese, integrazione IDE + SCM
- Team: a partire da ~$25/sviluppatore collaboratore/mese (fino a 10 sviluppatori), 1.000 test OSS/mese, integrazione Jira
- Ignite: per organizzazioni con meno di 50 sviluppatori che necessitano di funzionalità aziendali (SCM self-hosted, reporting)
- Enterprise: prezzi personalizzati, sviluppatori illimitati, policy personalizzate, supporto dedicato
Ideale per
Team di sviluppo che desiderano linee guida attuabili integrate nel flusso di lavoro GitHub/GitLab esistente e sono disposti a pagare per un’esperienza di sviluppo ottimizzata. Particolarmente potente per gli ecosistemi JavaScript, Python e Java.
3. Grype: il miglior scanner leggero per contenitori OSS/SCA
Grype (di Anchore) è uno scanner di vulnerabilità veloce e mirato per immagini di contenitori e filesystem. A differenza dell’approccio “scansiona tutto” di Trivy, Grype è deliberatamente mirato al rilevamento CVE nei pacchetti: svolge questo lavoro molto bene ed è comunemente abbinato a Syft (il generatore SBOM di Anchor) per un’analisi completa della catena di fornitura.
Caratteristiche principali
- Esegue la scansione di immagini di contenitori, archivi OCI, demone Docker e file system
- Supporto approfondito del pacchetto linguistico: Python, Ruby, Java JAR, npm, .NET, binari Go
- Si integra con Syft per flussi di lavoro SBOM-first (genera SBOM una volta, scansiona ripetutamente)
- Filtraggio delle corrispondenze per gravità, nome del pacchetto o ID CVE
- Formati di output SARIF, JSON e tabelle
Pro
- Estremamente veloce: adatto a budget limitati di tempo CI/CD
- Eccellente scansione Go Binary (rileva versioni stdlib vulnerabili nei binari compilati)
- Output JSON pulito, facile da inserire nei motori di policy
- Leggero: binario singolo, nessun demone
- Forte integrazione con Anchore Enterprise per dashboard SaaS + gestione delle policy
Contro
- Nessuna scansione IaC, nessun SAST
- Nessun rilevamento di segreti
- Il livello di gestione SaaS richiede Anchore Enterprise (commerciale)
- Set di regole più piccolo rispetto a Trivy per alcuni database consultivi del sistema operativo
Prezzi
Gratuito e open source (Apache 2.0). Anchore Enterprise aggiunge gestione SaaS, reporting di conformità e protezione runtime a prezzi commerciali.
Ideale per
Team che desiderano uno scanner CVE veloce e programmabile che si integri perfettamente con i flussi di lavoro SBOM. Particolarmente utile per le organizzazioni che adottano un approccio di sicurezza SBOM-first secondo l’ordine esecutivo 14028 (requisiti federali della catena di fornitura di software degli Stati Uniti).
4. Controllo delle dipendenze OWASP: ideale per gli ecosistemi Java/JVM
OWASP Dependency-Check è uno strumento SCA veterano che identifica le dipendenze del progetto e controlla le vulnerabilità note e divulgate pubblicamente. È particolarmente potente negli ecosistemi del linguaggio JVM (Java, Kotlin, Scala, Groovy) e dispone del supporto nativo dei plug-in Maven e Gradle.
Caratteristiche principali
- Supporta Java, .NET, JavaScript (npm), Ruby e altro
- NVD (National Vulnerability Database) come fonte primaria
- Formati di report HTML, XML, JSON, CSV, SARIF
- Plug-in Maven, plug-in Gradle, attività Ant, CLI
- Soppressione dei falsi positivi tramite configurazione XML
Pro
- Completamente gratuito, gestito da OWASP (nessun vincolo al fornitore)
- Integrazione nativa Maven/Gradle: non sono necessari passaggi CI aggiuntivi
- Eccellente traccia di controllo ai fini della conformità
- Ampiamente accettato nei settori regolamentati (bancario, sanitario)
Contro
- Lento alla prima esecuzione (scarica file di dati NVD di grandi dimensioni); le esecuzioni successive vengono memorizzate nella cache locale
- I limiti di velocità dell’API NVD possono causare ritardi nella pipeline se non configurati correttamente con una chiave API
- Limitato ai CVE noti: configurazioni errate e segreti non rientrano nell’ambito
- L’interfaccia utente e i report sono funzionali ma datati rispetto alle alternative commerciali
- Non adatto per monorepos poliglotti con molti ecosistemi
Prezzi
Gratuito e open source (Apache 2.0).
Ideale per
Team che utilizzano molto Java in settori regolamentati che necessitano di uno strumento SCA verificabile e a costo zero che si integri naturalmente con le build Maven o Gradle.
5. Semgrep: ideale per le regole SAST personalizzate
Semgrep è un motore di analisi statica open source veloce che consente ai team di sicurezza e tecnici di scrivere regole personalizzate in un linguaggio di pattern semplice e leggibile. Supporta oltre 30 lingue e dispone di un registro di migliaia di regole comunitarie e professionali per il rilevamento di vulnerabilità della sicurezza, uso improprio delle API e problemi di qualità del codice.
Caratteristiche principali
- SAST (Static Application Security Testing): rileva i bug nel tuo codice
- SCA — tramite Semgrep Supply Chain (analisi delle dipendenze OSS con raggiungibilità)
- Rilevamento dei segreti — tramite Semgrep Secrets
- Creazione di regole personalizzate con sintassi di pattern intuitiva
- Analisi del flusso di dati per ridurre i falsi positivi
- Estensioni IDE (VS Code, IntelliJ)
Perché i team DevOps lo adorano
La caratteristica principale di Semgrep è la personalizzazione delle regole senza complessità. Scrivere una regola per contrassegnare “eval()” in Python o assegnare assegnazioni “innerHTML” in JavaScript richiede minuti, non giorni di apprendimento di un DSL proprietario. I campioni della sicurezza integrati nei team di prodotto possono creare regole per i modelli specifici della propria base di codice, creando una politica di sicurezza vivente che si evolve con il codice.
Anche l’analisi di raggiungibilità in Semgrep Supply Chain è particolarmente utile: sopprime gli avvisi CVE OSS in cui la funzione vulnerabile viene importata ma mai effettivamente richiamata, riducendo il rumore con un margine significativo.
Pro
- Veloce: progettato per essere eseguito su ogni PR con analisi per file inferiore al secondo
- Formato delle regole indipendente dalla lingua: una competenza si applica a Python, JS, Go, Java, ecc.
- Registro di regole di comunità di grandi dimensioni (registro Semgrep)
- Filtraggio della raggiungibilità per SCA (meno avvisi di falsi positivi)
- Uscita SARIF, integrazione GitHub Advanced Security
- Gratuito per un massimo di 10 contributori
Contro
- Non un contenitore o uno scanner IaC (esistono alcune regole IaC ma la copertura è limitata)
- L’analisi del flusso di dati può non rilevare alcuni modelli di vulnerabilità complessi
- Le funzionalità Enterprise (Segreti, Supply Chain PRO, scansioni gestite) richiedono un piano Team/Enterprise
- La qualità delle regole nel registro comunitario varia: è necessaria una verifica
Prezzi
- Gratuito (comunità): fino a 10 contributori, SAST tramite codice Semgrep, SCA di base
- Team: prezzi personalizzati, SCA avanzata (Semgrep Supply Chain), Semgrep Secrets, flussi di lavoro di triage
- Enterprise: prezzi personalizzati, scansioni gestite, SSO, registri di controllo, supporto dedicato
Ideale per
Team di ingegneri che desiderano codificare le conoscenze sulla sicurezza come regole personalizzate ed eseguire velocemente SAST su ogni commit. Eccellente anche come livello sopra uno scanner di contenitori come Trivy, che copre il livello di codice che Trivy non copre.
6. Checkov: il migliore per la scansione di sicurezza IaC
Checkov (di Bridgecrew/Palo Alto Networks) è il principale strumento open source policy-as-code per la sicurezza Infrastructure as Code. Controlla Terraform, CloudFormation, manifest Kubernetes, grafici Helm, modelli ARM, Bicep, framework Serverless e altro ancora rispetto a centinaia di policy integrate derivate da benchmark CIS, NIST, PCI-DSS, SOC2 e framework HIPAA.
Caratteristiche principali
- Oltre 1.000 policy integrate in tutti i principali framework IaC
- Creazione di policy personalizzate in Python o YAML
- Analisi basata su grafici per Terraform (rileva problemi che richiedono la comprensione delle relazioni tra le risorse)
- Uscita SARIF, JUnit XML, JSON
- Flag
--soft-failper un’adozione graduale senza interrompere le pipeline - Integrazione con Prisma Cloud per la gestione e il reporting delle policy SaaS
Perché i team DevOps lo adorano
Checkov viene eseguito nella fase del “piano Terraform”, prima che venga effettuato il provisioning dell’infrastruttura, rendendolo il primo accesso possibile per individuare le configurazioni errate del cloud. Un controllo tipico rileva cose come:
- Bucket S3 senza crittografia lato server abilitata
- Gruppi di sicurezza con ingresso
0.0.0.0/0sulla porta 22 - Pod Kubernetes in esecuzione come root
- Istanze RDS senza protezione dall’eliminazione
- Funzioni Lambda con ruoli IAM eccessivamente permissivi
Queste sono le banali configurazioni errate che causano la maggior parte delle violazioni del cloud: non exploit zero-day, ma errori igienici di base che l’applicazione automatizzata delle policy elimina.
Pro
- Completamente gratuito e open source (Apache 2.0)
- La più ampia copertura del framework IaC rispetto a qualsiasi strumento open source
- L’analisi Terraform basata su grafici rileva problemi relativi a più risorse
- Semplici filtri
--frameworke--checkper un’adozione incrementale - Forte integrazione CI/CD: GitHub Actions, GitLab CI, Jenkins, hook pre-commit
- Integrazione Prisma Cloud per i team che necessitano di gestione SaaS
Contro
- Limitato a IaC: non uno scanner di container o uno strumento SAST
- La creazione di policy personalizzate in Python richiede uno sforzo di progettazione
- Insiemi di policy di grandi dimensioni producono output rumorosi nelle basi di codice legacy (utilizzare inizialmente
--soft-fail) - Il livello commerciale di Prisma Cloud (per dashboard e rilevamento delle derive) è costoso
Prezzi
Gratuito e open source (Apache 2.0). Prisma Cloud (Palo Alto Networks) fornisce un livello SaaS aziendale con rilevamento delle deviazioni, gestione dell’eliminazione e dashboard di conformità, prezzi tramite preventivo personalizzato.
Ideale per
Team di ingegneria della piattaforma e infrastruttura che desiderano prevenire configurazioni errate del cloud prima della distribuzione come parte di un flusso di lavoro basato su GitOps o Terraform. Funziona magnificamente insieme agli strumenti GitOps.
Suggerimenti per l’integrazione CI/CD
Ottenere la scansione delle vulnerabilità nella tua pipeline senza distruggere la velocità dello sviluppatore richiede qualche riflessione. Ecco alcuni modelli che funzionano bene:
Fallimento rapido su CRITICO, avviso su ALTO
Non bloccare i PR su ogni CVE medio: creerai affaticamento da allerta e gli sviluppatori lavoreranno intorno ai cancelli. Una soglia pratica:
- CRITICO: errore grave, fusione dei blocchi
- ALTO: Soft fail, commenta il PR con i dettagli
- MEDIO/BASSO: solo report, nessun blocco di unione
La maggior parte degli strumenti supporta il filtraggio della gravità tramite flag CLI (--severity CRITICAL,HIGH in Trivy, --fail-on critical in Grype).
Utilizza la memorizzazione nella cache per mantenere veloci le scansioni
Trivy e Grype mantengono entrambi database locali delle vulnerabilità. Memorizza nella cache le directory ~/.cache/trivy o ~/.cache/grype nella cache CI per evitare di scaricare l’intero database a ogni esecuzione. Ciò riduce significativamente il tempo di scansione.
Scansione in più punti
Le pipeline DevSecOps più efficaci eseguono la scansione in più fasi:
- IDE/pre-commit: il plug-in IDE di Snyk o Semgrep rileva i problemi durante la scrittura del codice
- Controllo PR: Trivy/Grype su contenitori modificati, Semgrep SAST su file modificati, Checkov su IaC modificato
- Push del registro: scansione Trivy completa dell’immagine finale prima del push nel registro del contenitore
- Programmata: scansione notturna completa del repository con Snyk o Trivy per individuare i CVE appena pubblicati rispetto alle dipendenze bloccate
Esporta SARIF per visibilità centralizzata
Trivy, Grype, Semgrep e Checkov supportano tutti l’output SARIF. La scheda Sicurezza di GitHub acquisisce SARIF in modo nativo, offrendoti una visione centralizzata dei risultati su tutti gli strumenti senza un SIEM separato o un dashboard di sicurezza. Questo è il percorso più semplice per consolidare la visibilità delle vulnerabilità per i team nativi di GitHub.
Combinazioni di strumenti consigliate per caso d’uso
| Caso d’uso | Pila consigliata |
|---|---|
| Startup, tutto in uno, budget zero | Trivy + Semgrep (entrambi OSS) |
| Azienda con forte utilizzo di Java, focalizzata sulla conformità | Trivy + Controllo dipendenze OWASP + Checkov |
| Priorità all’esperienza dello sviluppatore, budget disponibile | Snyk (tutti i moduli) |
| Codice base poliglotta, regole di sicurezza personalizzate | Semgrep + Trivy |
| Team della piattaforma Terraform con grande IaC | Checkov + Trivy |
| Prima conformità SBOM della catena di fornitura | Syft + Grype + Trivy |
| Completa maturità DevSecOps | Trivy + Semgrep + Checkov + Snyk |
Per i team che partono da zero, la combinazione Trivy + Semgrep copre la più ampia superficie a costo zero: Trivy gestisce container, IaC e CVE OSS; Semgrep gestisce le regole SAST personalizzate per il codice dell’applicazione. Aggiungi Checkov se gestisci un’infrastruttura Terraform significativa e valuta Snyk quando il team ha bisogno di un’esperienza utente ottimizzata per gli sviluppatori con PR di correzione automatizzate.
Ulteriori letture
Per una comprensione più approfondita dei principi di sicurezza alla base di questi strumenti, vale la pena tenere questi libri sulla scrivania:
- Container Security di Liz Rice — il riferimento definitivo per comprendere la sicurezza dei container dal kernel in su. Lettura essenziale per chiunque possieda una strategia di sicurezza dei container.
- Hacking: The Art of Exploitation di Jon Erickson - capire come pensano gli aggressori ti rende un difensore migliore. Altamente raccomandato per gli ingegneri DevSecOps che desiderano comprendere il “perché” dietro le valutazioni di gravità CVE.
Vedi anche: Strumenti di ottimizzazione dei costi del cloud per il 2026 — perché l’infrastruttura di scansione della sicurezza ha un proprio impatto sui costi che vale la pena ottimizzare. E AI Code Review Tools 2026 per il lato umano complementare della prevenzione delle vulnerabilità.
Domande frequenti
Qual è il miglior strumento gratuito di scansione delle vulnerabilità per le pipeline DevOps nel 2026?
Trivy è l’opzione gratuita più versatile nel 2026. Esegue la scansione di immagini di contenitori, file IaC, file system e repository Git per CVE, configurazioni errate e segreti, il tutto con un unico strumento CLI e senza alcun costo. Per la copertura SAST del codice dell’applicazione, abbina Trivy al livello community gratuito di Semgrep (fino a 10 contributori).
Qual è la differenza tra SAST e SCA nella scansione delle vulnerabilità?
SAST (Static Application Security Testing) analizza il tuo codice sorgente per rilevare bug di sicurezza, ad esempio SQL injection, pattern XSS, utilizzo non sicuro della crittografia o segreti hardcoded. SCA (Software Composition Analysis) analizza le dipendenze open source di terze parti per CVE noti. Una pipeline DevSecOps completa utilizza in genere sia: strumenti SAST come Semgrep per il tuo codice, sia strumenti SCA come Trivy, Grype o Snyk Open Source per le tue dipendenze.
Come posso integrare Trivy in GitHub Actions?
Utilizza il programma ufficiale aquasecurity/trivy-action. Aggiungi un passaggio al tuo flusso di lavoro YAML: specifica image-ref (per le scansioni del contenitore) o scan-type: 'fs' per le scansioni del filesystem/repo. Imposta format: 'sarif' e carica l’output sulla scansione del codice di GitHub con actions/upload-sarif per vedere i risultati nella scheda Sicurezza del tuo repository. Imposta “severity: CRITICAL,HIGH” e “exit-code: ‘1” per interrompere il flusso di lavoro in caso di risultati gravi.
Snyk vale il costo rispetto a strumenti gratuiti come Trivy?
Dipende dalle priorità della tua squadra. I principali vantaggi di Snyk rispetto agli strumenti gratuiti sono le sue richieste pull di correzione automatizzate (che fanno risparmiare molto tempo agli sviluppatori), le sue raffinate integrazioni IDE che emergono problemi durante la scrittura del codice e il suo dashboard unificato per SCA + SAST + contenitore + risultati IaC. Se l’esperienza dello sviluppatore e la velocità di risoluzione contano più del costo degli strumenti, Snyk spesso si ripaga riducendo i tempi di risoluzione. Per i team con budget limitato o per coloro che si sentono a proprio agio con gli strumenti CLI, Trivy + Semgrep copre la maggior parte degli stessi argomenti a costo zero.
Cosa significa “sicurezza con spostamento a sinistra” in DevOps?
La sicurezza spostata a sinistra significa spostare i controlli di sicurezza nelle prime fasi del ciclo di vita dello sviluppo del software, a sinistra su una sequenza temporale a cascata tradizionale. Invece di eseguire scansioni di sicurezza solo prima dei rilasci di produzione, le pratiche di spostamento a sinistra eseguono la scansione delle vulnerabilità nell’IDE dello sviluppatore, su ogni richiesta pull e in ogni fase della pipeline CI/CD. L’obiettivo è individuare le vulnerabilità quando è più economico risolverle: prima che il codice venga unito, non dopo la distribuzione.
Checkov può eseguire la scansione dei manifest Kubernetes così come di Terraform?
SÌ. Checkov supporta manifest YAML Kubernetes, grafici Helm, file Kustomize, Terraform, CloudFormation, modelli ARM, Bicep, Ansible e molti altri formati IaC. Utilizza il flag --framework per limitare la scansione a framework specifici. Per Kubernetes, Checkov verifica la presenza di errori di configurazione della sicurezza comuni, come pod eseguiti come root, limiti di risorse mancanti e contenitori con “hostNetwork” o “hostPID” abilitati.
Con quale frequenza dovrei eseguire le scansioni di vulnerabilità in una pipeline DevOps?
La migliore pratica nel 2026 è quella di eseguire la scansione in più punti: SAST leggero nell’IDE mentre viene scritto il codice, una scansione completa su ogni richiesta pull, una scansione al momento del push del registro del contenitore e una scansione notturna o settimanale pianificata di tutte le dipendenze aggiunte per individuare i CVE appena pubblicati. Ogni giorno vengono divulgate nuove vulnerabilità, quindi anche il codice che ha superato la scansione la settimana scorsa potrebbe essere vulnerabile oggi se viene pubblicato un nuovo CVE rispetto a una delle sue dipendenze.