Las 12 mejores herramientas de seguridad de la cadena de suministro de software en 2026

Escrito por

Publicado el:

12 de marzo de 2025

Tabla de Contenidos
Enlace de texto

Imagina desplegar código en producción, solo para descubrir malware oculto en una de las dependencias de tu aplicación, un escenario de pesadilla para desarrolladores, CTOs y CISOs.

En 2025, el treinta por ciento de las filtraciones de datos involucraron componentes de terceros o de la cadena de suministro, un aumento del 100% respecto al año anterior, según el Informe de Investigación de Filtraciones de Datos (DBIR) de Verizon de 2025.

Estas cifras no son solo estadísticas, destacan el estado actual de la seguridad de la cadena de suministro. Los ataques a la cadena de suministro ya no se dirigen directamente al código; se dirigen a las herramientas, dependencias y automatización en las que los equipos confían a diario. Sin las salvaguardias adecuadas, incluso los equipos bien protegidos pueden entregar artefactos comprometidos sin saberlo.

Durante el último año, Aikido Security detectó varios ataques a la cadena de suministro de npm, desde el malware de robo de credenciales de Shai Hulud hasta los ataques de confusión de dependencias de S1ngularity, el brote masivo de npm de septiembre, el troyano React-Native-Aria, y el reciente ataque de Shai Hulud 2.0 contra Zapier y ENS Domains, demostrando que incluso los servicios líderes de la industria son vulnerables.

Incluso con estas frecuentes ocurrencias de ataques a la cadena de suministro, todavía hay buenas noticias. Las herramientas de seguridad de la cadena de suministro de software (SSCS) han evolucionado para afrontar este desafío, ayudando a los equipos a recuperar el control. Estas herramientas automatizan la ardua tarea de validar código, dependencias, pipelines CI/CD y mucho más, identificando vulnerabilidades, inserciones maliciosas y configuraciones erróneas antes de que puedan ser explotadas.

En esta guía, exploraremos las principales herramientas SSCS que los equipos utilizan para proteger sus cadenas de suministro. Comenzaremos con una lista exhaustiva de las plataformas SSCS más fiables, para luego desglosar qué herramientas son las mejores para casos de uso específicos, ya sea para desarrolladores, empresas, startups, flujos de trabajo de SBOM, pipelines CI/CD y más.

Puedes ir a casos de uso específicos a continuación:

TL;DR

Entre las plataformas revisadas, Aikido Security destaca como la solución #1 en seguridad de la cadena de suministro de software (SSCS), gracias a su capacidad para detectar amenazas antes que la mayoría de sus competidores. Su Intel Feed es a menudo el primero en identificar nuevas campañas de malware antes de que lleguen a las bases de datos convencionales, y su herramienta de código abierto, SafeChain, protege a los desarrolladores validando los paquetes de dependencias antes de la instalación, previniendo incidentes como el brote de npm de septiembre y Shai Hulud 2.0.

Basándose en su ventaja de detección temprana, Aikido Security ofrece una plataforma integral que consolida el análisis de código, el análisis de dependencias, la detección de secretos, las verificaciones de pipelines CI/CD y la seguridad de imágenes de contenedores en un flujo de trabajo amigable para desarrolladores. Genera automáticamente SBOMs y realiza verificaciones de cumplimiento de licencias. Esta amplitud proporciona a los equipos una visibilidad exhaustiva sobre los riesgos que pueden afectar su cadena de suministro.

El resultado: Una experiencia de seguridad de la cadena de suministro más fluida y fiable. Mejorando la productividad de los desarrolladores al tiempo que proporciona a los equipos de seguridad la visibilidad y la evidencia lista para el cumplimiento que necesitan.

Tanto para startups como para empresas, Aikido se sitúa constantemente en la cima en las POCs gracias a su precisión, velocidad de incorporación, precios predecibles y capacidad para identificar amenazas reales y de alto impacto en la cadena de suministro.

Cómo Aikido Security aborda los desafíos SSCS

Desafío / Problema SSCS	Cómo Aikido Security lo aborda
Código vulnerable que introduce errores explotables	Utiliza su motor de análisis estático impulsado por IA para identificar vulnerabilidades en el código y proporciona desgloses y soluciones conscientes del contexto.
Riesgo de dependencias de terceros obsoletas o inseguras	Escanea las dependencias en busca de vulnerabilidades conocidas y problemas de licencias.
Exposición accidental de secretos o credenciales	Escanea en busca de secretos expuestos, claves API y credenciales en repositorios y pipelines CI/CD.
Vulnerabilidades en tiempo de ejecución en aplicaciones en vivo	Soporta el escaneo DAST para detectar vulnerabilidades durante el tiempo de ejecución.
Alto volumen de alertas	Utiliza su motor de alcanzabilidad asistido por IA para priorizar vulnerabilidades reales y explotables.
Vectores de ataque vinculados	Realiza un análisis de rutas de ataque de extremo a extremo, vinculando vulnerabilidades a través del código, las dependencias y la infraestructura para identificar amenazas reales.
Exceso de herramientas y cobertura de seguridad fragmentada	Utiliza un enfoque modular que permite a los equipos empezar con cualquier módulo (SAST, SCA, IaC, DAST, secretos) y habilitar otros según sea necesario, reduciendo la complejidad innecesaria.

¿Qué es la seguridad de la cadena de suministro de software?

La seguridad de la cadena de suministro de software (SSCS) es la práctica de proteger cada paso del ciclo de vida de su software, desde el código y las dependencias hasta los procesos de compilación y las implementaciones, para garantizar que nada malicioso o vulnerable se cuele. Se centra en asegurar todos los "eslabones" de la cadena, incluyendo bibliotecas de código abierto, pipelines de CI/CD, imágenes de contenedores, infraestructura como código y artefactos de lanzamiento.

El objetivo es garantizar que el software que construye y utiliza sea fiable, seguro y esté libre de manipulaciones o vulnerabilidades conocidas.

En resumen, las herramientas de SSCS le ayudan a verificar que cada componente, así como las personas y los procesos que los gestionan, no están comprometidos, reduciendo el riesgo de brechas de seguridad.

Por qué son importantes las herramientas de seguridad de la cadena de suministro de software

Las aplicaciones modernas se basan en capas de código abierto, sistemas de compilación automatizados y pipelines de despliegue distribuidos. Pero con tantos componentes implicados, esta complejidad introduce sus propios riesgos: una única dependencia comprometida o un pipeline mal configurado puede exponer todo su sistema. Las herramientas de SSCS le ayudan a controlar esta complejidad mostrándole exactamente lo que hay en su cadena de suministro. Esto es lo que garantizan:

Prevenga malware oculto y puertas traseras: Detecta automáticamente paquetes maliciosos o inyecciones de código en las dependencias para evitar ataques a la cadena de suministro.
Detecte vulnerabilidades a tiempo: Identifica CVEs conocidos en bibliotecas de terceros, contenedores y herramientas de compilación antes de que lleguen a producción.
Garantice la integridad: Al firmar artefactos y verificar sumas de comprobación, las herramientas de SSCS garantizan que los componentes que implementa son exactamente los que pretendía.
Simplifique el cumplimiento normativo: Genera automáticamente SBOMs (Software Bills of Materials) e informes de seguridad.
Ahorre tiempo a los desarrolladores: Integra la seguridad en los flujos de trabajo de los desarrolladores para detectar problemas. Las alertas y correcciones automatizadas significan que los desarrolladores dedican menos tiempo a revisiones manuales de código o a perseguir falsos positivos, y más tiempo a construir funcionalidades.

Cómo elegir la herramienta SSCS adecuada

La elección de una herramienta de seguridad de la cadena de suministro depende de su pila tecnológica, el tamaño del equipo y el perfil de riesgo. Tenga en cuenta estos criterios clave al evaluar las opciones:

Cobertura de amenazas:. ¿Identifique qué necesita: SCA, DAST, SAST, escaneo de contenedores, firma de código, endurecimiento del sistema de compilación? Busque herramientas que cubran múltiples bases para reducir la proliferación de herramientas.
Integración: ¿Se integra en su flujo de trabajo existente; IDE, control de código fuente, pipelines de CI/CD? Busque herramientas con una fricción de integración mínima.
UX amigable para desarrolladores: ¿Está diseñada pensando en los desarrolladores? ¿Proporciona una guía de remediación clara y características como la corrección automática con IA?
Priorización consciente del contexto: ¿Puede correlacionar riesgos entre múltiples escáneres? ¿Utiliza IA para priorizar vulnerabilidades basándose en su explotabilidad?
Controles de acceso: ¿Soporta control de acceso basado en roles y paneles compartidos? ¿Pueden los equipos de DevSecOps colaborar en los hallazgos directamente desde herramientas integradas como GitHub, GitLab, Jira y Slack?
Soporte de cumplimiento normativo: ¿Soporta estándares comunes como NIST, SOC 2, PCI DSS, ISO y DORA?
Despliegue: ¿Cuánto tiempo tarda en desplegarse? ¿Necesita instalar agentes?
‍
‍Precios predecibles: ¿Puede predecir cuánto le costará a su equipo en 6 meses?

Las 12 mejores herramientas de seguridad de la cadena de suministro de software

1. Aikido Security

‍Aikido Security es una plataforma de seguridad de la cadena de suministro impulsada por IA, diseñada para proteger toda la cadena de suministro de software, desde las dependencias y el código hasta los contenedores y el tiempo de ejecución.

Aikido Security está a la vanguardia en la identificación y análisis de ataques a la cadena de suministro, demostrada como el primer proveedor de seguridad en detectar varios incidentes importantes como el ataque de malware a la cadena de suministro Shai Hulud 2.0, el brote de NPM de septiembre, y otros ataques significativos a la cadena de suministro, incluyendo Shai Hulud, S1ngularity, y el troyano React-Native-Aria. Analiza estos ataques a gran escala y notifica a los mantenedores, clientes afectados y organizaciones impactadas.

Su motor de malware realiza análisis de comportamiento asistido por IA en las dependencias de paquetes para detectar cargas útiles ofuscadas, scripts post-instalación sospechosos, robo de credenciales, lógica de exfiltración e intentos de confusión de dependencias, vinculando automáticamente estos hallazgos a rutas de ataque explotables a través de código, contenedores y configuraciones en la nube.

Los desarrolladores obtienen todo lo necesario para resolver problemas:

Información detallada y rica en contexto sobre vulnerabilidades
Recomendaciones de corrección directas en IDEs o pull requests
Correcciones con un clic asistidas por IA
Evidencia de cumplimiento lista para auditoría alineada con SOC 2, ISO 27001, PCI DSS, GDPR, y otros marcos de trabajo

Los equipos pueden elegir cualquier módulo para empezar, SAST, SCA, IaC, secretos o DAST, y habilitar otros según sea necesario, obteniendo una visibilidad más profunda sin introducir una sobrecarga de herramientas.

El conjunto de escaneo modular de Aikido Security, las integraciones CI/CD e IDE, la priorización impulsada por IA y el análisis de rutas de ataque de extremo a extremo permiten a los equipos proteger sus cadenas de suministro más rápidamente y fortalecer la postura general de seguridad de la cadena de suministro.

Características clave:

Suite de Escaneo Modular: Proporciona módulos de escaneo para SAST, SCA, contenedores DAST, configuraciones en la nube y mucho más
Bloqueo de Malware en Tiempo Real: "Safe Chain" de Aikido Security se integra en los gestores de paquetes para bloquear dependencias maliciosas antes de que entren en los repositorios.
Configuración sin Agente: Utiliza sus APIs de solo lectura para integrarse con GitHub, GitLab o Bitbucket en minutos. No se requieren agentes de instalación.
Clasificación y Correcciones impulsadas por IA: Utiliza su motor de "análisis de alcanzabilidad" impulsado por IA para reducir el ruido mediante la clasificación automática de vulnerabilidades y proporcionando sugerencias y correcciones con un clic.
Mapeo de Cumplimiento Robusto: Soporta los principales marcos de cumplimiento y seguridad como SOC 2, ISO 27001, PCI DSS, GDPR, y mucho más.
Análisis de rutas de ataque de extremo a extremo: Aikido Security utiliza IA para vincular vulnerabilidades, validar la explotabilidad, priorizar rutas de ataque reales y generar pruebas de explotación reproducibles.
Puntuación de Riesgo Sensible al Contexto: Utiliza análisis de alcanzabilidad y reglas seleccionadas para destacar lo que importa. Reduciendo los falsos positivos hasta en un 90%.
Integración CI/CD: Se integra sin problemas con GitHub, GitLab, CircleCI y mucho más para ejecutar comprobaciones de seguridad en cada pull request y despliegue.
UX Centrada en el Desarrollador: Proporciona feedback instantáneo impulsado por IA en PRs e IDEs, plugins IDE para feedback en tiempo real, AI AutoFix, y flujos de trabajo de remediación accionables.
Amplia Compatibilidad: Funciona con muchos lenguajes y entornos en la nube de forma predeterminada.

Ventajas:

Fuente de malware en vivo
Precios predecibles
Amplia compatibilidad con idiomas
Informes y cumplimiento centralizados
Soporta monitorización multi-nube (AWS, Azure, GCP)
Lista de materiales de software (SBOM) completa
Filtrado impulsado por IA para reducir falsos positivos
Escaneo IaC y seguridad Kubernetes
Políticas de seguridad personalizables y ajuste flexible de reglas

Precios:

Los planes de Aikido Security comienzan desde 300 $/mes para 10 usuarios

Developer (Gratis para siempre): Perfecto para equipos de hasta 2 usuarios. Incluye 10 repositorios, 2 imágenes de contenedor, 1 dominio y 1 cuenta en la nube.
Basic: Ofrece soporte para 10 repositorios, 25 imágenes de contenedor, 5 dominios y 3 cuentas en la nube.
Pro: Adecuado para equipos de tamaño medio. Incluye 250 repositorios, 50 imágenes de contenedor, 15 dominios y 20 cuentas en la nube.
Advanced: 500 repositorios, 100 imágenes de contenedor, 20 dominios, 20 cuentas en la nube y 10 máquinas virtuales.

También hay ofertas disponibles para startups (con un 30% de descuento) y empresas

Ideal para:

Startups y empresas que buscan una plataforma SCSS completa y amigable para desarrolladores sin un onboarding complejo

Calificación de Gartner: 4.9/5.0

Reseñas de Aikido Security:

Además de Gartner, Aikido Security también tiene una calificación de 4.7/5 en Capterra, Getapp y SourceForge

‍

2. Aqua Security (Chain-Bench)

‍
Chain-Bench de Aqua Security es una herramienta de código abierto para auditar su cadena de suministro de software en busca de mejores prácticas.

Características clave:

Auditoría de CIS Benchmark: Comprueba su stack DevOps para verificar el cumplimiento de más de 20 recomendaciones CIS para la seguridad de la cadena de suministro.
Informes y Cuadros de Mando: Genera informes que destacan los controles aprobados/fallidos.

Ventajas:

SBOMs automatizados
Aplicación de políticas

Contras:

Enfocado principalmente en entornos contenerizados
Curva de aprendizaje pronunciada
Potencial de dependencia del proveedor (vendor lock-in)
No realiza SAST, DAST ni escaneo IaC
Requiere que los equipos ajusten sus flujos de trabajo a sus imágenes distroless
Los usuarios han reportado problemas al integrar con plataformas heredadas
Sus imágenes de contenedor gratuitas están limitadas a su última versión

Precios:

Código abierto

Ideal para:

Equipos que necesitan auditar su infraestructura CI/CD existente y configuraciones DevOps frente a puntos de referencia de seguridad como los de seguridad de la cadena de suministro de software de CIS.

Calificación de Gartner:

Sin reseña de Gartner.

Reseñas de Chain-Bench de Aqua Security:

No hay reseñas independientes generadas por usuarios.

3. Chainguard

‍

Chainguard es una plataforma de seguridad de la cadena de suministro de software centrada en asegurar las cadenas de suministro de contenedores. Es conocida por sus imágenes base de contenedores endurecidas y su gran implicación en proyectos como Sigstore.

Características clave:

Imágenes base endurecidas: Proporciona imágenes de contenedores mínimas y sin vulnerabilidades.
Firma y SBOMs integrados: Cada imagen de contenedor de Chainguard está firmada digitalmente e incluye una SBOM (lista de materiales de software) de alta calidad de serie.

Ventajas:

Reconstrucciones automatizadas y gestión de CVE
Imágenes firmadas digitalmente
Compatible con plataformas CI/CD comunes

Contras:

Principalmente enfocado en el tiempo de construcción/imagen, no es una herramienta SSCS completa
Los usuarios deben migrar a imágenes distroless
Curva de aprendizaje pronunciada
Requiere herramientas de terceros para una cobertura integral
Su nivel gratuito está limitado a la última versión de las imágenes de contenedores

Precios:

Más allá del nivel gratuito, Chainguard se basa en precios personalizados y por presupuesto.

Ideal para:

Organizaciones que priorizan la seguridad de contenedores y que lidian con el exceso de dependencias, el alto ruido de CVE y los complejos requisitos de endurecimiento de contenedores.

Calificación de Gartner:

Sin reseña de Gartner.

Reseñas de Chainguard:

4. GitHub Dependabot

‍
Dependabot es la herramienta integrada de GitHub para mantener las dependencias de terceros actualizadas y libres de vulnerabilidades.

Características clave:

Alertas de vulnerabilidad: Utiliza la base de datos de avisos de seguridad de GitHub para alertarte cuando una dependencia en tu repositorio tiene una vulnerabilidad conocida.
Actualizaciones de versión regulares: Puedes habilitar las actualizaciones de versión para abrir PRs y actualizar los paquetes a las últimas versiones, ya sea semanal o mensualmente.
Controles configurables: Puedes configurar Dependabot para ignorar dependencias específicas o programaciones de actualización.

Ventajas:

Integración fluida con GitHub
Disponible en todos los repositorios de GitHub
Remediación automatizada de vulnerabilidades

Contras:

Principalmente una herramienta de análisis de composición de software (SCA)
Alto volumen de alertas
Falsos positivos
Carece de análisis contextualizado
Análisis limitado de dependencias anidadas
Su profunda integración con el ecosistema de GitHub puede llevar a un bloqueo de proveedor
Puede ser engañado para fusionar código malicioso mediante un ataque de 'confused deputy'

Precios:

Gratis

Ideal para:

Equipos de ingeniería pequeños y medianos que desean actualizaciones de dependencias automatizadas integradas directamente en GitHub.

Calificación de Gartner:

Sin reseña de Gartner.

Revisiones de Dependabot:

5. Análisis de dependencias de GitLab

‍

El análisis de dependencias de GitLab es una característica de la plataforma DevSecOps de GitLab. Escanea las dependencias de tu aplicación en busca de vulnerabilidades conocidas, proporcionando información de seguridad dentro de tu flujo de trabajo de solicitudes de fusión.

Características clave:

Integración de solicitudes de fusión: Las vulnerabilidades se muestran directamente en la solicitud de fusión, para que los desarrolladores vean los hallazgos de seguridad antes de fusionar..
Monitorización continua: Notifica a los usuarios si se han identificado nuevas vulnerabilidades para las dependencias de tu proyecto.
Cumplimiento: Permite a los equipos fallar pipelines ante hallazgos de alta gravedad, y generar informes para las necesidades de cumplimiento.

Ventajas:

Aplicación de Políticas
Análisis de dependencias anidadas
Profunda integración con el CI/CD de GitLab

Contras:

Curva de aprendizaje
Alto volumen de alertas
Potencial de dependencia del proveedor (vendor lock-in)
Configuración compleja para el escaneo de SBOM
Sus escaneos son intensivos en recursos
Los usuarios han informado que las vulnerabilidades corregidas siguen apareciendo como activas

Precios:

El análisis de dependencias de GitLab solo está disponible en el plan Ultimate de GitLab

Plan Ultimate de GitLab: Precios personalizados

Ideal para:

Equipos que ya utilizan el ecosistema de GitLab y que desean un SCA integrado y un análisis de la cadena de suministro en todas las solicitudes de fusión.

Calificación de Gartner:

Sin reseña de Gartner.

Reseñas del análisis de dependencias de GitLab:

No hay reseñas independientes generadas por usuarios.

6. JFrog Xray

JFrog Xray es una herramienta de análisis de composición de software. Está profundamente integrada con el repositorio de binarios/paquetes de JFrog y los pipelines de CI.

Características clave:

Análisis recursivo: Realiza análisis recursivos de contenedores y paquetes almacenados..
Base de datos unificada de CVE y licencias: Comprueba los componentes con su base de datos de vulnerabilidades y listas de licencias.
Análisis de impacto: Si surge un nuevo CVE, permite a los usuarios escribir consultas para encontrar todas las compilaciones y proyectos que utilizan la versión de la biblioteca afectada.

Ventajas:

Generación de SBOM
Análisis sensible al contexto
Amplio soporte de artefactos

Contras:

Principalmente enfocado a empresas
Curva de aprendizaje pronunciada
Es complejo de configurar
Interfaz de usuario recargada
El análisis de artefactos grandes y dependencias anidadas es lento y consume muchos recursos
Requiere un ajuste continuo para minimizar los falsos positivos.

Precios:

Pro: 150 $ al mes
Enterprise X: 950 $ al mes
Enterprise +: Precios personalizados

Ideal para:

Organizaciones con flujos de trabajo intensivos de gestión de artefactos y paquetes que desean proteger los binarios en el origen (a través de Artifactory).

Calificación de Gartner: 4.5/5.0

Reseñas de JFrog Xray:

‍

7. Phylum (Ahora parte de Veracode)

‍

Phylum (ahora parte de Veracode) es una herramienta de seguridad de la cadena de suministro con un enfoque en los riesgos en los paquetes de código abierto.

Características clave:

Detección de malware: Phylum utiliza ML y heurísticas para analizar ecosistemas de código abierto en tiempo real.
Puntuación de riesgo: Cada paquete se evalúa en múltiples dimensiones, no solo mediante el análisis de código, incluyendo la reputación del mantenedor, la cadencia de actualizaciones y las señales de typosquatting.

Ventajas:

Guía de remediación
detección de paquetes maliciosos

Contras:

Enfocado en el ámbito empresarial
Curva de aprendizaje pronunciada
Alto volumen de alertas
Mala experiencia para el desarrollador
Altos falsos positivos
requiere una configuración exhaustiva de políticas para filtrar paquetes OSS maliciosos
Requiere remediación manual

Precios:

Precios personalizados

Ideal para:

Equipos centrados en la seguridad que buscan detección de amenazas en la cadena de suministro basada en el comportamiento para paquetes de código abierto.

Calificación de Gartner:

Sin reseña de Gartner.

Reseñas de Phylum:

No hay reseñas independientes generadas por usuarios.

8. ReversingLabs

‍

ReversingLabs ofrece una plataforma avanzada de seguridad de la cadena de suministro, recientemente denominada Spectra Assure, que aporta reputación de archivos y análisis binario al pipeline de software. Es conocida principalmente por su exhaustiva base de datos de malware.

Características clave:

Escaneo binario avanzado: Su motor de análisis estático deconstruye binarios para encontrar malware oculto, cambios no autorizados (manipulación), secretos incrustados en el código y otras anomalías que los escáneres tradicionales pasan por alto.
Inteligencia de amenazas integral: ReversingLabs ofrece una base de datos de inteligencia de amenazas de más de 40 mil millones de archivos con 16 motores de detección propietarios.
Políticas personalizadas e integración: Soporta políticas de seguridad personalizadas y se integra con CI/CD y repositorios de artefactos.

Ventajas:

generación de SBOM
Amplia base de datos de inteligencia de amenazas

Contras:

Fuerte enfoque empresarial
Curva de aprendizaje pronunciada
Puede ser complejo de configurar
Requiere herramientas SCA y SAST de terceros para una cobertura completa
Es intensivo en recursos
Menos centrado en el desarrollador en comparación con herramientas como Aikido Security

Precios:

Precios personalizados

Ideal para:

Empresas que necesitan análisis a nivel binario tanto para componentes de código abierto como propietarios.

Calificación de Gartner: 4.8/5.0

Reseñas de ReversingLabs:

9. Sigstore/Cosign

‍
Sigstore es una iniciativa de código abierto (ahora un proyecto de la Linux Foundation) que tiene como objetivo facilitar y hacer accesible la firma de software para todos los desarrolladores. Utiliza su herramienta CLI Cosign para firmar y verificar imágenes de contenedores, binarios y otros artefactos.

Características clave:

Firma de artefactos sin clave: Sigstore permite la firma «sin clave» utilizando identidades OIDC.
Verificación de procedencia: Su controlador de políticas permite verificar que un artefacto (p. ej., una imagen Docker) fue construido desde la fuente correcta y no ha sido manipulado.
Soporte de SBOM y atestación: Puede generar, adjuntar y verificar SBOMs y atestaciones de seguridad.

Ventajas:

Código abierto
Firma sin clave

Contras:

No es una herramienta SSCS completa
Los tokens OIDC de corta duración del usuario sirven como un único punto de fallo
Carece de gobernanza y control de políticas
Los equipos deben desplegar y gestionar una instancia privada de Sigstore para software propietario
Requiere un profundo conocimiento de criptografía más allá de casos de uso sencillos

Precios:

Código abierto

Ideal para:

Ideal para equipos cloud-native que adoptan SLSA, pipelines de confianza cero o flujos de trabajo centrados en Kubernetes.

Calificación de Gartner:

Sin reseña de Gartner.

10. Snyk

‍
Snyk es una plataforma DevSecOps que ayuda a los desarrolladores a encontrar y corregir vulnerabilidades en su código, dependencias de código abierto, contenedores y configuraciones de la nube.

Características clave:

Base de Datos de Vulnerabilidades: Snyk mantiene su propia base de datos interna de vulnerabilidades, aumentada con investigación y aprendizaje automático.
Sugerencias de Corrección Accionables: Puede abrir automáticamente solicitudes pull para actualizar dependencias a una versión segura y proporcionar descripciones claras para los problemas de código.

Ventajas destacadas:

Análisis impulsado por IA
Extensa base de datos de vulnerabilidades

Contras:

Curva de aprendizaje pronunciada
Falsos positivos
El precio puede volverse caro
Límite de tamaño de archivo de 1 MB para análisis estático de código
Los usuarios han reportado escaneos lentos en repositorios grandes
Los usuarios han reportado que sus sugerencias a veces son genéricas
Requiere ajustes adicionales para reducir el ruido
Puede pasar por alto vulnerabilidades en bases de código propietarias

Precios:

Gratis
Equipo: 25 $ al mes/desarrollador colaborador (mín. 5 desarrolladores)
Empresarial: Precios personalizados

Ideal para:

Equipos que buscan un escaneo rápido de vulnerabilidades, un amplio ecosistema de integraciones y una sólida cobertura de SCA + SAST.

Calificación de Gartner: 4.4/5.0

Reseñas de Snyk:

11. Sonatype Nexus Lifecycle

‍

Sonatype Nexus Lifecycle (parte de la plataforma Nexus) es una solución veterana en el ámbito de la cadena de suministro de software, conocida por su seguridad de componentes de código abierto.

Características clave:

Filtrado de Ruido: Utiliza análisis de alcanzabilidad y aprendizaje automático para filtrar alertas.
Motor de Políticas y Gobernanza: Permite a los usuarios establecer políticas personalizadas sobre el uso de código abierto‍.
Integración: Ofrece integraciones para IDEs y plataformas CI/CD populares para alertar a los desarrolladores con antelación.

Ventajas:

Priorización de riesgos basada en el contexto
Aplicación Automatizada de Políticas
Gestión de SBOM

Contras:

Enfocado en el ámbito empresarial
Es principalmente una herramienta SCA
Curva de aprendizaje
Requiere una herramienta de terceros para una cobertura completa de la cadena de suministro
Los usuarios han informado que su interfaz de usuario es compleja de navegar

Precios:

Nexus Lifecycle de Sonatype solo está disponible en sus planes de pago

Gratis
Pro: 135 $ al mes (facturado anualmente)
Premium: Precios personalizados

Ideal para:

Grandes empresas que buscan gobernanza estricta, aplicación de políticas y gestión de riesgos de código abierto a largo plazo.

Calificación de Gartner: 4.5/5.0

Reseñas de Nexus Lifecycle de Sonatype:

‍

12. Mend (Formerly WhiteSource)

‍

Mend (anteriormente WhiteSource) es una herramienta de seguridad de código abierto y cumplimiento de licencias. Comenzó como una herramienta SCA, pero se ha expandido para incluir SAST y escaneo de contenedores.

‍Características Clave:

SCA de extremo a extremo: Escanea continuamente los componentes de código abierto de sus proyectos frente a fuentes de vulnerabilidades y bases de datos de licencias.
Remediación automatizada: Abre automáticamente solicitudes de fusión para actualizar dependencias.
Política y Cumplimiento: Ofrece configuraciones de políticas para aplicar estándares y también genera SBOMs e informes de cumplimiento.

Ventajas:

Fuerte aplicación de políticas
Amplia compatibilidad con idiomas

Contras:

Fuertemente enfocado en empresas
Falsos positivos
La integración con sistemas on-premise es compleja
Los usuarios informan de una mala documentación para las características más recientes

Precios:

Mend Renovate Enterprise: hasta 250 $ por desarrollador/año
Mend AI Premium: hasta 300 $ por desarrollador/año
Mend AI Native Appsec platform: hasta 1000 $ por desarrollador/año

Ideal para:

Equipos que necesitan una forma probada de gestionar el riesgo de código abierto, aplicar políticas de licencias y estandarizar su práctica de SSCS

Calificación de Gartner: 4.4/5.0

Opiniones de Mend (anteriormente WhiteSource):

‍

Ahora que hemos presentado las mejores herramientas en general, desglosemos las cosas con más detalle. En las secciones siguientes, destacamos qué herramientas destacan para necesidades específicas, ya seas un desarrollador buscando algo fácil y gratuito, o un CISO buscando una plataforma integral. Estos desgloses deberían ayudarte a encontrar la mejor solución para tu contexto.

Las 5 mejores herramientas de seguridad de la cadena de suministro para desarrolladores

Criterios clave para elegir una herramienta SSCS para desarrolladores:

Integración de flujo de trabajo sin interrupciones
Escaneos rápidos y automáticos
Poco ruido y alertas procesables
UX amigable para desarrolladores
Rentable / se prefieren los niveles gratuitos

Aquí están las 5 mejores herramientas SSCS adaptadas para desarrolladores:

Aikido Security: Flujo de trabajo integral centrado en el desarrollador, se integra con IDEs y CI/CD, reducción de ruido impulsada por IA, nivel gratuito disponible
Dependabot: Actualizaciones automáticas de dependencias, nativo de GitHub, gratuito para todos los repositorios
Snyk: Orientación clara para la remediación, soporte para IDE y CI
Phylum: Protege contra paquetes OSS maliciosos, integración CLI para pipelines
GitLab análisis de dependencias: Integración CI sencilla, hallazgos procesables en las solicitudes de fusión

Comparando herramientas SSCS para desarrolladores

Herramienta	Integración de IDE	Soporte para CI/CD	Actualizaciones automáticas de dependencias	Lo mejor para
Aikido Security	✅ VS Code, JetBrains, Cursor, Windsurf y más	✅ GitHub, GitLab, Bitbucket, CircleCI, Azure DevOps y más	✅ Correcciones de PR con un solo clic	SSCS de extremo a extremo y centrado en el desarrollador para equipos que buscan soluciones donde trabajan
Snyk	❗ Limitado a IntelliJ, Eclipse y VS Code	✅ Plugins de CI nativos	❗ Sobrecarga de alertas, sin actualizaciones automáticas	SCA y escaneo IaC centrado en desarrolladores
Phylum	❌ Sin integración con IDE	✅ CLI para pipelines de CI	❌ Sin soporte para autoactualizaciones	Detección de malware en OSS para desarrolladores de JavaScript y Python
Dependabot	❗ Solo UI web	✅ Nativo de GitHub	✅ PRs automáticas para dependencias vulnerables	Mejor opción gratuita para equipos centrados en GitHub
Análisis de dependencias de GitLab	❌ Sin soporte para IDE	✅ Plantillas de CI de GitLab	❌ Sin PRs automáticos	Alertas basadas en solicitudes de fusión para desarrolladores de GitLab

Las 5 mejores herramientas de seguridad de la cadena de suministro para empresas

Criterios clave para elegir una herramienta SSCS para su empresa:

Amplia cobertura de seguridad
Potentes funciones de política y gobernanza
Informes de nivel empresarial (exportación de SBOM, informes de cumplimiento)
Opciones de despliegue flexibles
Precios predecibles
Soporte de proveedor probado

Aquí están las 5 mejores herramientas SSCS adaptadas para empresas:

Aikido Security: Amigable para desarrolladores, visibilidad completa de la cadena de suministro (SCA, SAST, DAST, IaC), fuerte control de políticas, fácil implementación empresarial
Sonatype Nexus Lifecycle: Gobernanza profunda de OSS, políticas de nivel empresarial
Mend (anteriormente WhiteSource): Amplia cobertura de SCA, remediación automatizada
JFrog Xray: Escaneo binario escalable, ideal para entornos con gran cantidad de artefactos
ReversingLabs: Detección avanzada de malware/manipulación para industrias de alto riesgo

Comparando herramientas SSCS para empresas

Herramienta	Gestión de políticas	Acceso basado en roles	Informes de SBOM y licencias	Lo mejor para
Aikido Security	✅ Reglas para toda la organización con aplicación automatizada	✅ RBAC multi-equipo con control centralizado	✅ Generación de SBOM, informes de vulnerabilidades y de licencias	Empresas que buscan seguridad de la cadena de suministro de software de extremo a extremo
Sonatype Lifecycle	❌ Configuración compleja de políticas personalizadas	✅ RBAC listo para empresas	❌ Principalmente enfocado en el cumplimiento de licencias	Gobernanza de código abierto a escala
Mend (anteriormente WhiteSource)	✅ Políticas de seguridad y licencias personalizadas	✅ Pistas de auditoría y RBAC granular	✅ Informes combinados de cumplimiento de licencias y seguridad	Entornos altamente regulados y orientados al cumplimiento
JFrog Xray	✅ Aplicación de políticas en tiempo de compilación	❌ Acceso granular vinculado al repositorio de artefactos	✅ Información sobre vulnerabilidades y licencias a nivel de artefacto	Escaneo de binarios estrechamente integrado con flujos de trabajo DevOps
ReversingLabs	❌ Requiere configuración y ajuste personalizados	❌ Estructuras de roles empresariales rígidas	✅ Detección avanzada de malware e informes de cumplimiento	Garantía del proveedor y aseguramiento de las compilaciones de producción finales

Las 4 mejores herramientas de seguridad de la cadena de suministro para startups y pymes

Criterios clave para elegir una herramienta SSCS para sus Startups y PYMES:

Asequibilidad (Planes gratuitos, planes de pago por crecimiento)
Simplicidad
Amplia cobertura de amenazas
Automatización
UX centrada en el desarrollador
Escalabilidad

Aquí están las 4 mejores herramientas SSCS adaptadas para Startups y PYMES:

Aikido Security: DevSecOps multimodular, configuración SaaS rápida, UX dev-first, plan gratuito
Snyk: Plan gratuito, escaneo de código abierto y en la nube
Dependabot: Actualizaciones automáticas de dependencias, integrado en GitHub
Mend (anteriormente WhiteSource): remediación automatizada, aplicación de políticas

Comparando herramientas SSCS para Startups y PYMES

Herramienta	Nivel Gratuito	Seguridad todo en uno	Configuración sencilla	Lo mejor para
Aikido Security	✅ Siempre gratuito para equipos pequeños	✅ Seguridad del código, la nube y de contenedores en una única plataforma	✅ Despliegue SaaS sin configuración	Startups sin equipos de seguridad dedicados
Snyk	✅ Nivel gratuito para desarrolladores	❗ Centrado principalmente en SCA	✅ Incorporación basada en Git	Seguridad de código abierto para desarrolladores
Dependabot	✅ Gratuito para todos los usuarios de GitHub	❌ No es una plataforma de seguridad completa	✅ Integración nativa con GitHub	Actualizaciones de dependencias gratuitas para proyectos pequeños
Mend	❗ Prueba disponible	✅ Cobertura de SCA y SAST	✅ Configuración e incorporación guiadas	PYMES que operan en industrias reguladas

Las 4 mejores herramientas gratuitas de seguridad de la cadena de suministro de software

Criterios clave para elegir herramientas SSCS gratuitas:

Verdaderamente gratuito (OSS o nivel SaaS gratuito)
Soporte comunitario
Facilidad de integración
Ligero
Cobertura

Aquí están las 4 mejores herramientas SSCS gratuitas:

Aikido Security: Nivel siempre gratuito para equipos pequeños, configuración sin agente, análisis de código + nube + contenedores
Dependabot: Análisis de dependencias gratuito, integrado en GitHub
Sigstore/Cosign: Firma y verificación de artefactos gratuita, PKI para proyectos de código abierto
Chain-Bench de Aqua Security: Auditoría de CI/CD de código abierto, destaca las deficiencias en las prácticas de seguridad

Comparando herramientas SSCS gratuitas

Herramienta	Detección de vulnerabilidades	Detección de licencias	Generación de SBOM	Lo mejor para
Aikido Security	✅ Escaneo completo de vulnerabilidades (SCA, SAST, DAST y más)	✅ Informes de licencias automatizados	✅ Sí (formatos CycloneDX, SPDX)	Equipos pequeños que desean seguridad integrada directamente en los flujos de trabajo existentes
Dependabot	✅ Alertas de CVE para dependencias	❌ Sin escaneo de licencias	❌ Sin soporte para SBOM	Auto-parcheo gratuito para repositorios de GitHub
Sigstore / Cosign	❌ Sin escaneo de vulnerabilidades	❌ Sin información de licencia	✅ Atestaciones de SBOM	Firma y verificación de artefactos de software
Aqua Security – Chain Bench	❌ No escanea código en busca de vulnerabilidades	❌ Sin detección de licencias	❌ Sin generación de SBOM	Auditoría conforme al benchmark CIS Software Supply Chain

Las 5 mejores herramientas SSCS para el riesgo de dependencias de código abierto

Criterios clave para elegir herramientas SSCS para el riesgo de dependencias de código abierto:

Cobertura de la base de datos de vulnerabilidades (NVD, avisos de GitHub, boletines de distribución)
Verificaciones de cumplimiento de licencias
Priorización sensible al contexto
Actualizaciones automatizadas de dependencias
Verificaciones de malware

Estas son las 5 mejores herramientas SSCS para el riesgo de dependencias de código abierto:

Aikido Security: SCA integrado con accesibilidad por IA, reducción de ruido impulsada por IA, verificaciones de licencias, SBOMs autogenerados
Snyk: monitorización continua, escaneo de licencias
Sonatype Nexus Lifecycle: gobernanza de OSS basada en políticas, datos de dependencia completos
Phylum: detecta paquetes maliciosos, análisis de comportamiento de malware
Mend (anteriormente WhiteSource): amplio soporte de lenguajes, análisis de licencias y componentes obsoletos

Comparando herramientas SSCS para riesgos de dependencia de código abierto

Herramienta	Cobertura de vulnerabilidades	Cumplimiento de licencias	detección de paquetes maliciosos	Lo mejor para
Aikido Security	✅ CVEs con análisis de alcanzabilidad impulsado por IA	✅ Informes automatizados de riesgos de licencias	✅ Análisis de comportamiento e inteligencia de amenazas impulsados por IA	Equipos de desarrollo que gestionan riesgos de dependencia multifacéticos
Snyk	✅ Base de datos de vulnerabilidades robusta	✅ Filtros de licencia basados en políticas	❌ No hay detección de paquetes maliciosos	Retroalimentación rápida sobre vulnerabilidades para desarrolladores
Sonatype Nexus Lifecycle	✅ Detección proactiva de vulnerabilidades	✅ Estricto cumplimiento legal y de licencias	❗ Bloqueo de paquetes de riesgo basado en firewall	Gobernanza estricta de código abierto a escala
Phylum	❗ Detección de riesgos basada en el comportamiento	❌ Sin características de cumplimiento de licencias	✅ Alertas de typosquatting y malware	Búsqueda de malware en paquetes de código abierto
Mend (anteriormente WhiteSource)	✅ SCA con PRs de parche	✅ Filtros y políticas de licencia	❌ No hay detección de paquetes maliciosos	Rápida remediación para vulnerabilidades conocidas

Las 2 mejores plataformas integrales de seguridad de la cadena de suministro de software

Criterios Clave para Elegir Herramientas SSCS End-to-End:

Amplio conjunto de características
Correlación de resultados
Política y Gobernanza Unificadas
Integración del flujo de trabajo del desarrollador
Escalabilidad

Aquí están las 2 mejores herramientas SSCS de extremo a extremo:

Aikido Security: DevSecOps de extremo a extremo, configuración sin agente, configuración sencilla, correlación de riesgos impulsada por IA
JFrog Xray: Firma de artefactos, desde la compilación hasta el lanzamiento

Comparando Herramientas SSCS de extremo a extremo

Herramienta	Cobertura de Código a la Nube	Aplicación de Políticas	Seguridad de Runtime	Lo mejor para
Aikido Security	✅ Código, Nube y Tiempo de Ejecución	✅ Aplicación centralizada en toda la organización	✅ firewall de aplicaciones y protección en tiempo de ejecución	Cobertura completa de DevSecOps con baja sobrecarga operativa
JFrog Xray	✅ Visibilidad desde la compilación hasta el lanzamiento	✅ Escaneo de políticas basado en Xray	❗ Se requieren herramientas externas	Seguridad nativa de CI con una sólida gobernanza de artefactos

Las 4 mejores herramientas SSCS para la creación y validación de SBOMs

Criterios Clave para la Elección de Herramientas SSCS para la Creación y Validación de SBOMs:

Formatos compatibles (CycloneDX, SPDX)
Integración
Profundidad de análisis
Validación y Firma
Usabilidad

Estas son las 4 Mejores Herramientas SSCS para la Creación y Validación de SBOMs:

Aikido Security: Informes SBOM con un solo clic, lista de componentes sensibles a vulnerabilidades
Sigstore/Cosign: Firma de SBOM, atestaciones, verificación de integridad
Mend (Formerly WhiteSource): Generación automatizada de SBOM, controles de políticas
JFrog Xray: Metadatos detallados de componentes, exportación de SBOM

Comparando Herramientas SSCS para la Creación y Validación de SBOMs

Herramienta	Soporte de Formato SBOM	Integración CLI/CI	Firma de SBOM	Lo mejor para
Aikido Security	✅ CycloneDX + SPDX	✅ Generado automáticamente mediante CLI/CI	❗ Requiere firma externa (p. ej., Cosign)	SBOMs orientados a desarrolladores, rápidos y completos
Sigstore/Cosign	❗ Solo atestación, no un generador	✅ CLI de firma	✅ Atestación sin clave	Atestación y verificación de SBOM
Mend (Formerly WhiteSource)	✅ Metadatos enriquecidos	✅ Opciones de SaaS + CI	❗ Firma de SBOM mediante API	Generación de SBOM listo para auditoría
JFrog Xray	✅ SBOMs de artefactos	✅ Escaneo de CI/CD	❌ Sin firma nativa	SBOMs basados en binarios

Las 5 mejores herramientas de cadena de suministro con integración CI/CD

Criterios clave para elegir herramientas SSCS con integración CI/CD:

Plugins CI nativos
Rendimiento del pipeline
Control de políticas de fallo/aprobación
Feedback amigable para desarrolladores (comentarios de PR, SARIF, logs)
Escalabilidad

Aquí están las 5 mejores herramientas SSCS con integración CI/CD:

Aikido Security: Integración CI en un solo paso, remediación con IA, feedback instantáneo del pipeline
Snyk: Plugins CI prefabricados, PRs de corrección automática
GitLab Análisis de dependencias: Plantilla CI nativa, informes de seguridad de MR automatizados
JFrog Xray: Aplicación de políticas de la compilación al lanzamiento, escaneo de artefactos
Phylum: Protección de dependencias preinstalación, binario amigable para CI

Comparando SSCS con integración CI/CD

Herramienta	GitHub Actions	GitLab CI	Fallo de compilación por CVE	Lo mejor para
Aikido Security	✅ Nativo	✅ Plantillas de CI	✅ Controles basados en políticas	Aplicación de CI de ciclo completo
Snyk	❗ Acción disponible pero puede ser lenta	✅ Integración con pipelines de GitLab	❗ Los umbrales de severidad carecen de contexto de explotabilidad	Análisis tempranos en el pipeline de desarrollo
Análisis de dependencias de GitLab	❌ Sin integración con GitHub	✅ Análisis nativos de MR	✅ Fallo por severidad	Ideal para flujos de trabajo de GitLab
JFrog Xray	❗ Integración con API REST	❗ CLI o hooks personalizados	✅ Reglas de escaneo de compilación	Escanea artefactos en CI/CD
Phylum	❗ La CLI requiere configuración manual	✅ Bloqueo previo a la instalación	❗ Carece de cobertura CVE exhaustiva	Bloquea el malware antes de la instalación

Conclusión

Las amenazas en la cadena de suministro de software son ahora una realidad constante, pero las herramientas adecuadas las hacen manejables. Ya sea que comience con un escáner gratuito y amigable para desarrolladores o adopte una plataforma empresarial completa, el paso más importante es integrar estos controles tempranamente en su proceso de compilación y lanzamiento.

Al combinar múltiples funciones de seguridad en un flujo de trabajo modular y centrado en el desarrollador, Aikido Security ofrece a startups y empresas visibilidad de extremo a extremo de su cadena de suministro. Utiliza su motor de IA para detectar, priorizar y remediar los riesgos de la cadena de suministro en tiempo real, minimizando la fatiga de alertas y asegurando que los equipos puedan entregar software seguro más rápido, todo a precios transparentes.

¿Quiere visibilidad completa en toda su cadena de suministro? Comience su prueba gratuita o reserve una demostración con Aikido Security hoy mismo.

Preguntas frecuentes

¿Qué es una cadena de suministro de software y por qué es crítica su seguridad?

Una cadena de suministro de software es la ruta completa que sigue el software desde el desarrollo hasta el despliegue, incluyendo código, dependencias, sistemas de compilación y pipelines de despliegue. La seguridad es crítica porque una sola dependencia comprometida, un pipeline mal configurado o un artefacto malicioso pueden exponer todo su sistema a ataques. Herramientas como Aikido Security ayudan a monitorizar y asegurar cada eslabón de esta cadena.

¿Qué son las herramientas de seguridad de la cadena de suministro de software y cómo funcionan?

Las herramientas de seguridad de la cadena de suministro de software (SSCS) escanean y monitorizan código, dependencias, contenedores, infraestructura como código y artefactos de compilación para detectar vulnerabilidades, configuraciones erróneas y manipulaciones. Proporcionan alertas automatizadas, orientación para la remediación e informes. Plataformas como Aikido Security consolidan múltiples funciones de seguridad en una sola plataforma para una monitorización y remediación optimizadas.

¿Cómo detectan las herramientas de seguridad de la cadena de suministro de software las inyecciones de código malicioso?

Las herramientas SSCS utilizan técnicas como el análisis estático y dinámico, el escaneo de dependencias y paquetes, y la detección de anomalías. Pueden identificar cambios inesperados, scripts sospechosos o dependencias comprometidas antes de que entren en producción. Herramientas como Aikido Security mejoran aún más la detección con contexto impulsado por IA y correlación de riesgos automatizada.

¿Cuáles son las mejores prácticas para integrar herramientas de seguridad de la cadena de suministro en los pipelines de DevOps?

Integre las comprobaciones de seguridad de forma temprana («shift-left») en el pipeline de CI/CD, automatice el escaneo de dependencias y código, aplique puertas de compilación basadas en políticas y proporcione feedback amigable para desarrolladores sobre los hallazgos. El uso de una plataforma centrada en el desarrollador como Aikido Security simplifica la integración, reduce la proliferación de herramientas y garantiza una aplicación coherente en todas las etapas del pipeline.

También le podría interesar:

Última actualización el:

16 de diciembre de 2025

Suscríbase para recibir noticias sobre amenazas.

Protege tu software ahora.

Empieza hoy mismo, gratis.

Empieza gratis

Sin tarjeta

Publicaciones similares

Ver todo

Enero 21, 2026

•

Herramientas DevSec y comparaciones

Las 10 Mejores Herramientas de Seguridad de IA para 2026

Explore las principales herramientas de seguridad de IA para 2026. Compare plataformas para revisión de código con IA, detección de vulnerabilidades, pentesting y gestión de riesgos para proteger aplicaciones modernas.

Herramientas

Enero 16, 2026

•

Herramientas DevSec y comparaciones

Las 6 mejores alternativas a Graphite para la revisión de código con IA en 2026

Compara las mejores alternativas a Graphite para la revisión de código impulsada por IA. Consulta opciones gratuitas como Aikido Security y herramientas empresariales como SonarQube para mejorar la calidad del código.

Herramientas

Calidad del código

Enero 7, 2026

•

Herramientas DevSec y comparaciones

Las 14 mejores extensiones de VS Code para 2026

Una guía práctica de las mejores extensiones de VS Code para 2026, que abarca herramientas de productividad, pruebas, colaboración y seguridad que mejoran los flujos de trabajo reales de los desarrolladores.

Herramientas

AppSec

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

Iniciar escaneo

Sin tarjeta

Solicitar una demo

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.