Seguridad para Equipos de Desarrollo | GitScrum
Construye software seguro con seguridad integrada en tu proceso de desarrollo. Protege a tus usuarios y a tu organización.
5 min de lectura
La seguridad no es una feature que agregas al final—es una mentalidad que permea cada etapa del desarrollo. GitScrum ayuda a equipos a trackear tareas de seguridad, gestionar remediación de vulnerabilidades, y asegurar que reviews de seguridad ocurran antes de que el código llegue a producción.
Puntos de Integración de Seguridad
| Fase | Actividad de Seguridad | Automatización |
|---|---|---|
| Diseño | Threat modeling | Parcial |
| Código | Secure coding, review | Manual |
| Build | SAST, dependency scan | Full |
| Test | DAST, penetration testing | Parcial |
| Deploy | Config validation | Full |
| Runtime | Monitoring, WAF | Full |
Ciclo de Vida de Desarrollo Seguro
SEGURIDAD EN SDLC
═════════════════
FASE 1: DISEÑO
┌─────────────────────────────────────────────────────────────┐
│ │
│ Threat Modeling: │
│ ├── Identificar assets (datos, funciones) │
│ ├── Identificar threats (framework STRIDE) │
│ ├── Identificar mitigaciones │
│ └── Documentar requerimientos de seguridad │
│ │
│ Requerimientos de Seguridad: │
│ ├── Necesidades de autenticación │
│ ├── Modelo de autorización │
│ ├── Requerimientos de protección de datos │
│ └── Requerimientos de compliance │
│ │
│ Architecture Review: │
│ ├── Patrones de arquitectura de seguridad │
│ ├── Trust boundaries │
│ └── Defensa en profundidad │
│ │
└─────────────────────────────────────────────────────────────┘
FASE 2: DESARROLLO
┌─────────────────────────────────────────────────────────────┐
│ │
│ Secure Coding: │
│ ├── Seguir guías de secure coding │
│ ├── Input validation │
│ ├── Output encoding │
│ ├── Parameterized queries │
│ └── Proper error handling │
│ │
│ Code Review: │
│ ├── Checklist de review con enfoque de seguridad │
│ ├── Checks de authentication/authorization │
│ ├── Review de manejo de datos │
│ └── Sin secrets hardcodeados │
│ │
│ IDE Security Plugins: │
│ └── Feedback de seguridad en tiempo real │
│ │
└─────────────────────────────────────────────────────────────┘
FASE 3: TESTING
┌─────────────────────────────────────────────────────────────┐
│ │
│ Testing Automatizado: │
│ ├── SAST (Static Analysis) │
│ ├── DAST (Dynamic Analysis) │
│ ├── Dependency scanning │
│ └── Container scanning │
│ │
│ Testing Manual: │
│ ├── Penetration testing │
│ ├── Security code review │
│ └── Red team exercises │
│ │
└─────────────────────────────────────────────────────────────┘
Gestión de Vulnerabilidades
PROCESO DE VULNERABILIDADES
═══════════════════════════
TRIAJE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ CRÍTICO (CVSS 9.0-10.0): │
│ ├── SLA: 24 horas │
│ ├── Drop everything │
│ └── Notificar stakeholders │
│ │
│ ALTO (CVSS 7.0-8.9): │
│ ├── SLA: 7 días │
│ ├── Planificar en sprint actual │
│ └── Puede desplazar otro trabajo │
│ │
│ MEDIO (CVSS 4.0-6.9): │
│ ├── SLA: 30 días │
│ ├── Planificar en próximo sprint │
│ └── Normal priority │
│ │
│ BAJO (CVSS 0.1-3.9): │
│ ├── SLA: 90 días │
│ ├── Backlog │
│ └── Fix when convenient │
│ │
└─────────────────────────────────────────────────────────────┘
TRACKING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Crear tarea para cada vulnerabilidad │
│ • Label: security │
│ • Severidad en el título │
│ • Link a advisory/CVE │
│ • Owner asignado │
│ • Deadline según SLA │
│ │
└─────────────────────────────────────────────────────────────┘
En GitScrum
SEGURIDAD EN GITSCRUM
═════════════════════
TRACKING DE TAREAS DE SEGURIDAD:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Label: 🔒 security │
│ • Filtrar por tareas de seguridad │
│ • Dashboard de vulnerabilidades abiertas │
│ • Aging report para SLAs │
│ │
└─────────────────────────────────────────────────────────────┘
DEFINITION OF DONE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ Incluir en DoD: │
│ ├── Security review completado │
│ ├── Sin vulnerabilidades críticas/altas │
│ ├── Dependency scan pasado │
│ └── Secrets no hardcodeados │
│ │
└─────────────────────────────────────────────────────────────┘