5 min lectura • Guide 585 of 877
Mejores Prácticas de Seguridad para Equipos de Desarrollo
La seguridad no es una feature que agregas al final—es una mentalidad que permea cada etapa del desarrollo. GitScrum ayuda a equipos a trackear tareas de seguridad, gestionar remediación de vulnerabilidades, y asegurar que reviews de seguridad ocurran antes de que el código llegue a producción.
Puntos de Integración de Seguridad
| Fase | Actividad de Seguridad | Automatización |
|---|---|---|
| Diseño | Threat modeling | Parcial |
| Código | Secure coding, review | Manual |
| Build | SAST, dependency scan | Full |
| Test | DAST, penetration testing | Parcial |
| Deploy | Config validation | Full |
| Runtime | Monitoring, WAF | Full |
Ciclo de Vida de Desarrollo Seguro
SEGURIDAD EN SDLC
═════════════════
FASE 1: DISEÑO
┌─────────────────────────────────────────────────────────────┐
│ │
│ Threat Modeling: │
│ ├── Identificar assets (datos, funciones) │
│ ├── Identificar threats (framework STRIDE) │
│ ├── Identificar mitigaciones │
│ └── Documentar requerimientos de seguridad │
│ │
│ Requerimientos de Seguridad: │
│ ├── Necesidades de autenticación │
│ ├── Modelo de autorización │
│ ├── Requerimientos de protección de datos │
│ └── Requerimientos de compliance │
│ │
│ Architecture Review: │
│ ├── Patrones de arquitectura de seguridad │
│ ├── Trust boundaries │
│ └── Defensa en profundidad │
│ │
└─────────────────────────────────────────────────────────────┘
FASE 2: DESARROLLO
┌─────────────────────────────────────────────────────────────┐
│ │
│ Secure Coding: │
│ ├── Seguir guías de secure coding │
│ ├── Input validation │
│ ├── Output encoding │
│ ├── Parameterized queries │
│ └── Proper error handling │
│ │
│ Code Review: │
│ ├── Checklist de review con enfoque de seguridad │
│ ├── Checks de authentication/authorization │
│ ├── Review de manejo de datos │
│ └── Sin secrets hardcodeados │
│ │
│ IDE Security Plugins: │
│ └── Feedback de seguridad en tiempo real │
│ │
└─────────────────────────────────────────────────────────────┘
FASE 3: TESTING
┌─────────────────────────────────────────────────────────────┐
│ │
│ Testing Automatizado: │
│ ├── SAST (Static Analysis) │
│ ├── DAST (Dynamic Analysis) │
│ ├── Dependency scanning │
│ └── Container scanning │
│ │
│ Testing Manual: │
│ ├── Penetration testing │
│ ├── Security code review │
│ └── Red team exercises │
│ │
└─────────────────────────────────────────────────────────────┘
Gestión de Vulnerabilidades
PROCESO DE VULNERABILIDADES
═══════════════════════════
TRIAJE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ CRÍTICO (CVSS 9.0-10.0): │
│ ├── SLA: 24 horas │
│ ├── Drop everything │
│ └── Notificar stakeholders │
│ │
│ ALTO (CVSS 7.0-8.9): │
│ ├── SLA: 7 días │
│ ├── Planificar en sprint actual │
│ └── Puede desplazar otro trabajo │
│ │
│ MEDIO (CVSS 4.0-6.9): │
│ ├── SLA: 30 días │
│ ├── Planificar en próximo sprint │
│ └── Normal priority │
│ │
│ BAJO (CVSS 0.1-3.9): │
│ ├── SLA: 90 días │
│ ├── Backlog │
│ └── Fix when convenient │
│ │
└─────────────────────────────────────────────────────────────┘
TRACKING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Crear tarea para cada vulnerabilidad │
│ • Label: security │
│ • Severidad en el título │
│ • Link a advisory/CVE │
│ • Owner asignado │
│ • Deadline según SLA │
│ │
└─────────────────────────────────────────────────────────────┘
En GitScrum
SEGURIDAD EN GITSCRUM
═════════════════════
TRACKING DE TAREAS DE SEGURIDAD:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Label: 🔒 security │
│ • Filtrar por tareas de seguridad │
│ • Dashboard de vulnerabilidades abiertas │
│ • Aging report para SLAs │
│ │
└─────────────────────────────────────────────────────────────┘
DEFINITION OF DONE:
┌─────────────────────────────────────────────────────────────┐
│ │
│ Incluir en DoD: │
│ ├── Security review completado │
│ ├── Sin vulnerabilidades críticas/altas │
│ ├── Dependency scan pasado │
│ └── Secrets no hardcodeados │
│ │
└─────────────────────────────────────────────────────────────┘