5 min lectura • Guide 733 of 877
Prácticas de Desarrollo Enfocadas en Seguridad
La seguridad no puede ser un afterthought. GitScrum ayuda a equipos a integrar seguridad en workflows ágiles con tracking de tareas de seguridad, gestión de vulnerabilidades, e integración de procesos.
Seguridad en Agile
SHIFT-LEFT DE SEGURIDAD
═══════════════════════
TRADICIONAL (Shift-Right):
┌─────────────────────────────────────────────────────────────┐
│ │
│ Design → Develop → Test → Security Review → Deploy │
│ ↑ │
│ "Encontramos 47 vulnerabilidades" │
│ "Release delayed 3 semanas" │
│ │
└─────────────────────────────────────────────────────────────┘
SHIFT-LEFT (Integrado):
┌─────────────────────────────────────────────────────────────┐
│ │
│ Security Security Security Security │
│ ↓ ↓ ↓ ↓ │
│ Design → Develop → Test → Deploy │
│ │
│ EN CADA FASE: │
│ │
│ Design: │
│ • Threat modeling │
│ • Requerimientos de seguridad │
│ • Architecture review │
│ │
│ Develop: │
│ • Prácticas de secure coding │
│ • Static analysis (SAST) │
│ • Dependency scanning │
│ • Code review incluye seguridad │
│ │
│ Test: │
│ • Dynamic analysis (DAST) │
│ • Security test cases │
│ • Penetration testing │
│ │
│ Deploy: │
│ • Configuration scanning │
│ • Runtime protection │
│ • Monitoring y alerting │
│ │
└─────────────────────────────────────────────────────────────┘
Integración en Sprint
SEGURIDAD EN EL RITMO DEL SPRINT
════════════════════════════════
ASIGNACIÓN DE SPRINT:
┌─────────────────────────────────────────────────────────────┐
│ │
│ [████████████████████████████░░░░░░░░░░] │
│ Features 60% │ Bugs 15% │ Security 15% │ Tech Debt 10% │
│ │
└─────────────────────────────────────────────────────────────┘
TIPOS DE TRABAJO DE SEGURIDAD:
┌─────────────────────────────────────────────────────────────┐
│ │
│ PROACTIVO: │
│ ├── Security improvements │
│ ├── Hardening │
│ ├── Security testing │
│ └── Training y awareness │
│ │
│ REACTIVO: │
│ ├── Vulnerability fixes │
│ ├── Incident response │
│ ├── Audit findings │
│ └── Compliance gaps │
│ │
│ CONTINUO: │
│ ├── Dependency updates │
│ ├── Security review de PRs │
│ ├── Monitoring y alerting │
│ └── Access reviews │
│ │
└─────────────────────────────────────────────────────────────┘
Gestión de Vulnerabilidades
PROCESO DE VULNERABILIDADES
═══════════════════════════
WORKFLOW:
┌─────────────────────────────────────────────────────────────┐
│ │
│ Discovered → Triaged → Prioritized → Fixed → Verified │
│ │
│ 1. DISCOVERED: │
│ └── De scanning, audit, o reporte │
│ │
│ 2. TRIAGED: │
│ └── Severidad asignada, impact evaluado │
│ │
│ 3. PRIORITIZED: │
│ └── En backlog, sprint asignado │
│ │
│ 4. FIXED: │
│ └── Código corregido, deployed │
│ │
│ 5. VERIFIED: │
│ └── Confirmado que está arreglado │
│ │
└─────────────────────────────────────────────────────────────┘
SLAs POR SEVERIDAD:
┌─────────────────────────────────────────────────────────────┐
│ │
│ Crítico: 24 horas │
│ Alto: 7 días │
│ Medio: 30 días │
│ Bajo: 90 días │
│ │
└─────────────────────────────────────────────────────────────┘
Cultura de Seguridad
CONSTRUYENDO CULTURA DE SEGURIDAD
═════════════════════════════════
ENTRENAMIENTO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Secure coding training para todos los devs │
│ • OWASP Top 10 awareness │
│ • Security champions en cada equipo │
│ • Lunch & learn sessions │
│ │
└─────────────────────────────────────────────────────────────┘
INCENTIVOS:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Reconocer security improvements │
│ • Gamification de security training │
│ • Security bug bounty interno │
│ • Celebrar cuando se encuentran issues │
│ │
└─────────────────────────────────────────────────────────────┘
PROCESO:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Security en Definition of Done │
│ • Security review checklist │
│ • Blameless postmortems de incidents │
│ • Mejora continua │
│ │
└─────────────────────────────────────────────────────────────┘
En GitScrum
SEGURIDAD EN GITSCRUM
═════════════════════
TRACKING:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Label: 🔒 security │
│ • Prioridad: critical/high/medium/low │
│ • SLA tracking automático │
│ • Dashboard de vulnerabilidades │
│ │
└─────────────────────────────────────────────────────────────┘
MÉTRICAS:
┌─────────────────────────────────────────────────────────────┐
│ │
│ • Mean time to fix por severidad │
│ • Vulnerabilidades abiertas por aging │
│ • SLA compliance rate │
│ • Tendencia de nuevas vulnerabilidades │
│ │
└─────────────────────────────────────────────────────────────┘