Durante los últimos años hemos trabajado en equipos de ingeniería donde la seguridad siempre llegaba tarde: al final del sprint, como un bloqueante en el pipeline de CI o como un correo del equipo de cumplimiento el día antes de un despliegue importante.
El problema no era la falta de herramientas. Era que las herramientas no hablaban el idioma de los equipos de producto. Los ingenieros de seguridad reportaban en CVEs y etiquetas de severidad. Los responsables de ingeniería reportaban en plazos y entregas. El equipo directivo reportaba en dinero. Nadie estaba traduciendo entre los tres.
El problema con las herramientas de seguridad actuales
Los escáneres tradicionales generan cientos de hallazgos sin contexto de negocio. Un HIGH de Opengrep en una rama de feature que nunca llega a producción no tiene el mismo impacto que el mismo hallazgo en main. Pero las herramientas no distinguen.
El resultado: fatiga de alertas, hallazgos ignorados y deuda técnica de seguridad acumulada en silencio — hasta que una brecha la hace visible en el balance de la empresa.
A esto se suma el problema de la dispersión de herramientas. La mayoría de los equipos acaban ejecutando SAST, SCA, escaneo de secretos y auditorías de IaC con herramientas separadas, outputs separados, dashboards separados y flujos de triaje separados. El coste operativo de gestionar cuatro señales de seguridad desconectadas es en sí mismo una forma de deuda.
Qué hace Gerion diferente
Gerion integra cuatro escáneres open source best-in-class en una plataforma unificada:
- Opengrep — SAST de código fuente (fork community de Semgrep)
- OSV-Scanner — análisis de dependencias y CVEs (Google)
- Gitleaks — detección de secretos filtrados en el historial completo de git
- KICS — análisis de infraestructura como código (Terraform, Kubernetes, Dockerfiles)
Pero lo importante no son los escáneres. Es el Financial Impact Engine.
Financial Impact Engine
Cada hallazgo se traduce en un impacto económico basado en el contexto real del repositorio: rama, tipo de hallazgo, severidad, exposición. Los hallazgos en ramas de producción (main, master, release/*) tienen un multiplicador de 10×.
Esto permite a los equipos de ingeniería priorizar no por “este escáner dice HIGH” sino por “este hallazgo representa 8.400€ de exposición en producción ahora mismo”. Permite a los responsables de seguridad reportar al CFO no en número de CVEs sino en coste evitado. Y crea un lenguaje compartido entre seguridad, ingeniería y dirección que hace defensible la inversión en seguridad.
El Financial Impact Engine también rastrea el Ahorro Realizado — el valor acumulado de hallazgos mitigados. Cuando ocurren sprints de seguridad, el dashboard muestra el ROI en moneda, no solo en un contador de hallazgos más bajo.
Tu código nunca sale de tu red
Creemos que la confianza en una herramienta de seguridad empieza por la transparencia. La CLI de Gerion es open source — puedes leer exactamente qué hace antes de darle acceso a tu codebase. El repositorio está en github.com/gerion-appsec/gerion-cli.
Como el escaneo se ejecuta dentro de tu propio pipeline de CI/CD, tu código fuente nunca sale de tu red. Los cuatro escáneres se ejecutan en tu infraestructura. Lo que llega al dashboard de Gerion son únicamente metadatos de hallazgos, contexto de git (rama, commit, autor) e impacto financiero calculado — nunca código fuente.
Esta arquitectura importa especialmente en entornos regulados. Bajo GDPR, NIS2 y DORA, las organizaciones necesitan demostrar control sobre dónde van sus datos. El diseño de Gerion hace que esa respuesta sea simple: tu código se queda en tu red, sin más.
Open Core SaaS
El motor de escaneo es open source y auditable. La plataforma — dashboards, motor financiero, vistas de gobernanza, reporting — es un SaaS en gerion.dev, con infraestructura europea.
Obtienes la transparencia de las herramientas open source con la simplicidad del SaaS: sin infraestructura que gestionar, sin mantenimiento de escáneres, sin dashboards que construir. Instala la CLI en tu pipeline y los hallazgos con contexto financiero empiezan a llegar a tu dashboard en minutos.
Early Access
Hoy abrimos el programa de Early Access. Si lideras un equipo de ingeniería o seguridad y quieres ser de los primeros en usar Gerion, solicita acceso.
Los primeros equipos trabajarán directamente con nosotros para definir las funcionalidades del roadmap — y sus métricas de hallazgos e impacto financiero nos ayudarán a construir los benchmarks que permitirán a todos los equipos comparar su postura de seguridad con la del sector.