What is Seguridad en SDLC?

Construye software seguro con prácticas de seguridad integradas en el ciclo de vida de desarrollo.

What is Secure Coding?

PRÁCTICAS DE SECURE CODING ══════════════════════════ INPUT VALIDATION: OUTPUT ENCODING: AUTHENTICATION: AUTHORIZATION:

What is Herramientas de Seguridad?

TOOLCHAIN DE SEGURIDAD ══════════════════════ SAST (Static Analysis): DEPENDENCY SCANNING: SECRET DETECTION: DAST (Dynamic Analysis):

SEGURIDAD EN GITSCRUM ═════════════════════ TRACKING DE VULNERABILIDADES: WORKFLOW:

What is Soluciones Relacionadas de GitScrum?

- Mejores Prácticas de Seguridad(/es/how-to/security-best-practices-for-development-teams) - Desarrollo Enfocado en Seguridad(/es/how-to/security-focused-development-practices) - Security Testing en Agile(/es/how-to/security-testing-in-agile) - CI/CD Best Practices(/es/how-to/ci-cd-pipeline-best-practices)

Prácticas de Desarrollo de Seguridad

La seguridad es responsabilidad de todos, no solo del equipo de seguridad. Las buenas prácticas de seguridad se construyen en workflows de desarrollo, no se agregan al final. Esta guía cubre prácticas de seguridad prácticas para equipos de desarrollo.

Seguridad en SDLC

Fase	Actividad de Seguridad
Diseño	Threat modeling
Código	Secure coding, review
Build	SAST, dependency scan
Test	DAST, pen testing
Deploy	Container scan, secrets
Run	Monitoring, patching

Secure Coding

PRÁCTICAS DE SECURE CODING
══════════════════════════

INPUT VALIDATION:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  Siempre valida:                                            │
│  ├── Input del usuario                                     │
│  ├── Parámetros de API                                     │
│  ├── File uploads                                          │
│  ├── Headers                                               │
│  ├── Nunca confíes en el input                             │
│  └── Whitelist sobre blacklist                             │
│                                                             │
│  Ejemplo:                                                   │
│  // Malo                                                   │
│  const userId = req.params.id;                             │
│  db.query(`SELECT * FROM users WHERE id = ${userId}`);     │
│                                                             │
│  // Bueno                                                   │
│  const userId = parseInt(req.params.id, 10);               │
│  if (isNaN(userId)) throw new Error('Invalid ID');         │
│  db.query('SELECT * FROM users WHERE id = ?', [userId]);   │
│                                                             │
└─────────────────────────────────────────────────────────────┘

OUTPUT ENCODING:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  ├── HTML encode para contexto HTML                        │
│  ├── URL encode para URLs                                  │
│  ├── SQL parameterize para queries                         │
│  ├── Context-aware encoding                                │
│  └── Prevenir inyección                                    │
│                                                             │
└─────────────────────────────────────────────────────────────┘

AUTHENTICATION:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  ├── Usa librerías probadas                                │
│  ├── Requerimientos de password fuertes                    │
│  ├── Rate limiting en login                                │
│  ├── Session management seguro                             │
│  ├── MFA donde sea apropiado                               │
│  └── No hagas tu propio auth                               │
│                                                             │
└─────────────────────────────────────────────────────────────┘

AUTHORIZATION:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  ├── Check en cada request                                 │
│  ├── Deny by default                                       │
│  ├── Principle of least privilege                          │
│  ├── Valida ownership                                      │
│  └── No confíes en client-side checks                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘

Herramientas de Seguridad

TOOLCHAIN DE SEGURIDAD
══════════════════════

SAST (Static Analysis):
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  • Analiza código fuente                                   │
│  • Encuentra vulnerabilidades sin ejecutar                 │
│  • Integra en IDE y CI                                     │
│  • Herramientas: SonarQube, Semgrep, CodeQL                │
│                                                             │
└─────────────────────────────────────────────────────────────┘

DEPENDENCY SCANNING:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  • Encuentra vulnerabilidades en dependencias              │
│  • Alerta sobre CVEs conocidas                             │
│  • Automatiza updates                                      │
│  • Herramientas: Snyk, Dependabot, npm audit               │
│                                                             │
└─────────────────────────────────────────────────────────────┘

SECRET DETECTION:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  • Encuentra secrets en código                             │
│  • Pre-commit hooks                                        │
│  • Escanea historial de git                                │
│  • Herramientas: GitGuardian, TruffleHog                   │
│                                                             │
└─────────────────────────────────────────────────────────────┘

DAST (Dynamic Analysis):
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  • Prueba aplicación en ejecución                          │
│  • Encuentra runtime vulnerabilities                       │
│  • Simula ataques                                          │
│  • Herramientas: OWASP ZAP, Burp Suite                     │
│                                                             │
└─────────────────────────────────────────────────────────────┘

En GitScrum

SEGURIDAD EN GITSCRUM
═════════════════════

TRACKING DE VULNERABILIDADES:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  • Tarjeta por vulnerabilidad                              │
│  • Label: security-critical, security-high, etc.           │
│  • SLA en descripción                                      │
│  • Owner responsable                                       │
│  • Link a advisory                                         │
│                                                             │
└─────────────────────────────────────────────────────────────┘

WORKFLOW:
┌─────────────────────────────────────────────────────────────┐
│                                                             │
│  Identified → Triaged → In Progress → Fixed → Verified     │
│                                                             │
│  • Alerta si SLA vence                                     │
│  • Reportes de aging                                       │
│  • Métricas de time-to-fix                                 │
│                                                             │
└─────────────────────────────────────────────────────────────┘