Descripción general de la API Scan
La API Scan de Cert-IX proporciona acceso programático a 10 motores de análisis de seguridad de nivel empresarial a través de una API REST unificada. Envíe análisis, reciba resultados en tiempo real e integre evaluaciones de vulnerabilidades directamente en sus flujos de trabajo, pipelines CI/CD y automatizaciones de seguridad.
¿Por qué usar la API Scan?
- Interfaz unificada — Una sola API para 10 motores de análisis de referencia
- Arquitectura asíncrona — Envíe análisis y reciba notificaciones vía webhooks
- Escala empresarial — Diseñada para entornos de alto rendimiento con procesamiento Kafka
- Control de acceso granular — Claves API con alcances, lista de IPs permitidas y límites por clave
- Notificaciones en tiempo real — Webhooks con verificación de firma HMAC-SHA256
- Plantillas reutilizables — Guarde configuraciones y lance con una sola llamada API
- Observabilidad completa — Analíticas de uso, seguimiento de cuotas y registros de llamadas
URL base
Todos los endpoints están disponibles en:
https://api.cert-ix.com/scan-api/api/v1
Todas las solicitudes deben usar HTTPS. Las conexiones HTTP son rechazadas.
Motores de análisis disponibles
La API Scan soporta 10 motores de seguridad profesionales, cada uno diseñado para un dominio específico:
| Motor | Tipo | Caso de uso |
|---|---|---|
| Nmap | nmap | Descubrimiento de red, escaneo de puertos, detección de servicios, identificación de SO |
| OWASP ZAP | zap | Pruebas dinámicas de seguridad de aplicaciones (DAST), OWASP Top 10 |
| Trivy | trivy | Análisis de vulnerabilidades de contenedores, configuraciones incorrectas IaC, secretos |
| Nuclei | nuclei | Detección de vulnerabilidades basada en plantillas para miles de CVE |
| Nikto | nikto | Escaneo de servidores web para archivos peligrosos, software obsoleto, configuraciones incorrectas |
| SQLMap | sqlmap | Detección y pruebas automatizadas de inyección SQL |
| Wapiti | wapiti | Análisis de vulnerabilidades de aplicaciones web de caja negra |
| theHarvester | harvester | OSINT — recopilación de emails, enumeración de subdominios, metadatos |
| Sublist3r | sublist3r | Enumeración de subdominios mediante motores de búsqueda y servicios DNS |
| Sentinel | sentinel | Análisis orquestado multi-motor propietario de Cert-IX con correlación |
Resumen de la API
| Recurso | Endpoint | Descripción |
|---|---|---|
| Análisis | POST /scans | Enviar un nuevo análisis |
GET /scans/:id | Verificar el estado de un análisis | |
GET /scans/:id/results | Obtener los resultados | |
POST /scans/:id/cancel | Cancelar un análisis en curso | |
GET /scans | Listar todos los análisis | |
| Plantillas | POST /scan-templates | Crear una plantilla reutilizable |
POST /scan-templates/:id/launch | Lanzar un análisis desde una plantilla | |
GET /scan-templates | Listar plantillas | |
| Webhooks | POST /webhooks | Registrar un endpoint webhook |
POST /webhooks/:id/test | Enviar un evento de prueba | |
GET /webhooks/:id/deliveries | Consultar registros de entrega | |
| Uso | GET /usage/summary | Estadísticas de uso agregadas |
GET /usage/history | Datos de uso cronológicos | |
GET /usage/by-scan-type | Desglose por motor | |
| Claves API | POST /api-keys | Crear una clave API |
POST /api-keys/:id/rotate | Rotación con período de gracia | |
DELETE /api-keys/:id | Revocar una clave |
Autenticación
Todas las solicitudes API requieren una clave API transmitida a través del encabezado X-API-Key:
curl -X GET https://api.cert-ix.com/scan-api/api/v1/scans \
-H "X-API-Key: cix_sk_su_clave_api_aqui"
Las claves API soportan:
- Alcances granulares — Controle exactamente lo que cada clave puede hacer
- Restricciones por tipo de análisis — Limite los motores que una clave puede invocar
- Lista de IPs permitidas — Restrinja el uso a IPs de origen específicas
- Expiración automática — Establezca una vida útil para las claves
- Rotación sin interrupciones — Períodos de gracia para un reemplazo transparente
Más información sobre autenticación →
Seguridad y cumplimiento
La API Scan está diseñada para cumplir con los requisitos de seguridad empresarial:
- TLS 1.3 — Todas las conexiones cifradas con TLS moderno
- Criptografía post-cuántica (PQC) — Intercambio de claves CRYSTALS-Kyber, firmas CRYSTALS-Dilithium
- HMAC-SHA256 — Verificación de firma de webhooks
- Hash SHA-256 de claves — Claves API hasheadas antes del almacenamiento
- Aislamiento de tenants — Separación completa de datos entre organizaciones
- Registro de auditoría — Cada llamada API registrada vía Kafka (ANSSI, NIS2, DORA)
- Limitación de tasa — Límites configurables por clave, por minuto/hora/día
Formato de respuesta estándar
Todas las respuestas siguen un envoltorio JSON consistente:
Éxito:
{
"success": true,
"data": { ... }
}
Error:
{
"success": false,
"error": "Mensaje de error legible",
"code": "CODIGO_LEGIBLE_POR_MAQUINA"
}
Límites de tasa��
| Ventana | Predeterminado | Rango configurable |
|---|---|---|
| Por minuto | 60 | 1 – 1.000 |
| Por hora | 1.000 | 1 – 50.000 |
| Por día | 10.000 | 1 – 500.000 |
Los encabezados de límite de tasa se incluyen en cada respuesta:
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 42
X-RateLimit-Reset: 1709654460
Obtener ayuda
- Documentación — Explore las guías de esta sección
- Bobby IA — Pida a Bobby ayuda con las configuraciones de análisis
- Soporte — Contacte [email protected]
- Página de estado — Verifique el estado en status.cert-ix.com
Próximos pasos:
- Primeros pasos → — Su primer análisis en menos de 5 minutos
- Autenticación → — Gestión de claves API y seguridad
- Ejemplos de código → — Clientes listos para producción en Python, Go y Node.js