El análisis estático de seguridad de aplicaciones (SAST) examina el código fuente
para detectar vulnerabilidades sin ejecutar la aplicación.
Gerion utiliza Opengrep
Ejecutar
# Escanear el directorio actual
# Guardar resultados como SARIF
gerion sast-scan . --format sarif --output-file sast.sarif
# Enviar resultados a la API de Gerion
gerion sast-scan . --api-url $GERION_API_URL --api-key $GERION_API_KEY
Lenguajes soportados
Lenguaje Extensiones Python .pyJavaScript .js, .jsx, .mjsTypeScript .ts, .tsxJava .javaGo .goC .c, .hC++ .cpp, .cc, .cxx, .hppC# .csPHP .phpRuby .rbKotlin .ktScala .scalaRust .rsSwift .swiftDart .dartBash / Shell .sh, .bashDockerfile DockerfileTerraform .tfYAML .yml, .yamlJSON .json
Tipos de vulnerabilidades detectadas
Categoría Ejemplos Inyección SQL injection, command injection, LDAP injection XSS Cross-site scripting reflejado y almacenado Autenticación Contraseñas hardcodeadas, JWT sin firma Criptografía Algoritmos débiles (MD5, SHA1, RC4), IV estáticos Deserialización Deserialización insegura de objetos Path traversal Acceso a ficheros fuera del directorio permitido SSRF Server-side request forgery Lógica Comparaciones de seguridad incorrectas
Opciones
Opción Descripción --formatFormato de salida: json | markdown | sarif --output-fileGuardar resultados en fichero (deshabilita envío a API) --api-urlURL del Gerion API Gateway --api-keyAPI key M2M --timeoutTimeout en segundos (defecto: 180) --log-leveldebug | info | warning | error
Interpretación de resultados
┌──────────────┬───────────────────────────────┬────────────────┐
│ Severity │ Rule │ File:Line │
├──────────────┼───────────────────────────────┼────────────────┤
│ 🔴 High │ python.lang.security.sql-inj │ db.py:42 │
│ 🟡 Medium │ javascript.crypto.weak-hash │ auth.js:15 │
└──────────────┴───────────────────────────────┴────────────────┘
Para ver descripción completa y mitigación recomendada, accede al Dashboard de Gerion .
