1. Nunca Hardcodear Secretos
Todas las credenciales van en variables de entorno.
.env siempre en .gitignore.
Buenas Prácticas de Seguridad
En esta sección detallamos las normas y estándares de seguridad que todo desarrollador y operador del sistema Nostromo debe seguir. Estas prácticas no son opcionales; son parte integral de la calidad del código.
Guías Disponibles
Section titled “Guías Disponibles” 🛡️ Protección de Datos Normas para clasificar información, manejo de secretos, cifrado y sanitización de logs.
🏗️ Seguridad de Infraestructura Detalles sobre protección del perímetro, servidor y base de datos.
Reglas de Oro
Section titled “Reglas de Oro”2. Validar Todo Input
Usar express-validator o Zod en todos los endpoints.
Nunca confiar en datos del frontend.
3. Queries Parametrizadas
Siempre usar $1, $2 en consultas SQL.
Nunca concatenar strings en queries.
4. Logging Seguro
Sanitizar logs antes de escribir. Nunca loguear passwords, tokens o PII.
Checklist de Seguridad
Section titled “Checklist de Seguridad”Antes de hacer merge a main, verifica:
| Item | Verificación |
|---|---|
| ⬜ Credenciales | No hay secretos hardcodeados |
| ⬜ Validación | Todos los inputs están validados |
| ⬜ Autorización | Rutas protegidas con authenticateToken |
| ⬜ RBAC | Permisos verificados para operaciones sensibles |
| ⬜ Logs | Sin PII en mensajes de log |
| ⬜ Dependencies | npm audit sin vulnerabilidades críticas |
“La seguridad no es un producto, es un proceso.” — Bruce Schneier