Un fallo que casi les cuesta todo. 31 de enero de 2017

GitLab, una de las plataformas de desarrollo colaborativo más importantes del mundo, experimentó una caída masiva en sus servicios.

Durante unas 18 horas, millones de desarrolladores no pudieron acceder a sus repositorios.

MILLONES.

¿Qué ocurrió? Al investigar, descubrieron que un ingeniero borró accidentalmente una base de datos primaria mientras intentaba resolver un problema menor.

Sí, leíste bien:

Un simple comando ejecutado sin las medidas adecuadas de seguridad y validación. Lo peor de todo no fue eso, no.

Lo peor fue que es que, en ese momento, las copias de seguridad no funcionaron como esperaban.

Las rutinas de recuperación de datos no habían sido probadas correctamente.

Sin servicio. Sin backups

GitLab tuvo que emitir disculpas públicas y trabajar frenéticamente durante horas para restaurar la confianza de sus usuarios. ¿Qué evitó que este incidente fuera aún más catastrófico? Una lista de comprobación.

Complementado con pruebas previas y procedimientos mejorados implementados tras el incidente.

No te quedes con la idea de que esto solo pasa en empresas grandes.

Pasa todos los días.

En todas partes.

En las APIs funciona igual.

Muy pocas empresas tienen una buena lista de checks para API.

Y menos de seguridad.

Créeme. Se de lo que hablo.

Llevo 5 años creando y diseñando software de seguridad para APIs en la empresa 42Crunch.

Los productos que he diseñado los usan las empresas más grandes del Fortune 500.

También he trabajado para Startups en USA, España, India, Francia o Reino Unido.

Y si algo he aprendido, es que todas fallan en lo mismo.

En esta formación está la checklist que deberías de aplicar.

Según mi experiencia.

Seas grande o pequeño.

Te cuento mas para que lo mires con calma.

✔️ ¿Sabías que configurar mal OAuth2 puede exponer datos críticos de tus usuarios? Te enseñamos a proteger estas implementaciones (Capítulo 5, Minuto 10:15).

✔️ Qué errores debes evitar al generar y validar JWT, y cómo estos pueden comprometer toda la seguridad de tu aplicación (Capítulo 3, Minuto 8:40). ✔️ Los beneficios de implementar listas de comprobación para procesos de CI/CD, y cómo eso previene errores de despliegue (Capítulo 9, Minuto 5:02). ✔️ ¿Sabes cómo detectar tokens mal configurados en tus APIs antes de que alguien los robe? Aquí aprenderás a hacerlo (Capítulo 2, Minuto 7:35). ✔️ Cómo el uso correcto de variables de entorno puede blindar tus sistemas ante filtraciones de datos sensibles (Capítulo 6, Minuto 3:12). ✔️ Descubre por qué tu sistema de autenticación podría estar permitiendo ataques de fuerza bruta sin que lo sepas (Capítulo 2, Minuto 12:25) ✔️ Los 3 errores más comunes al trabajar con APIs y cómo evitarlos con prácticas sencillas (Capítulo 7, Minuto 4:55) ✔️ La importancia de documentar tus APIs y qué herramientas usar para hacerlo fácil (Capítulo 6, Minuto 2:43) ✔️ Aprende a identificar vulnerabilidades de seguridad en el flujo de datos entre aplicaciones (Capítulo 8, Minuto 6:40). ✔️ ¿Sabías que puedes reducir el tiempo de carga de tus aplicaciones hasta un 30% con ajustes simples en tus procesos? Aquí te enseño cómo (Capítulo 7, Minuto 3:15). ✔️ Cómo monitorear el tráfico de tus APIs para detectar posibles amenazas en tiempo real (Capítulo 10, Minuto 8:12). ✔️ ¿Por qué las políticas de CORS mal configuradas son un agujero de seguridad gigante? Aquí te lo explicamos (Capítulo 6, Minuto 7:20). ✔️ Cómo detectar y mitigar intentos de acceso no autorizados en sistemas distribuidos (Capítulo 7, Minuto 9:45). ✔️ Aprende a rastrear errores en tus pipelines de CI/CD y cómo solucionarlos rápidamente (Capítulo 9, Minuto 6:25). ✔️ La diferencia entre logs bien estructurados y caos absoluto en tu monitoreo. Aprende a estructurarlos (Capítulo 10, Minuto 2:18). ✔️ Qué métricas de monitoreo son las más importantes para detectar problemas antes de que escalen (Capítulo 10, Minuto 3:42). ✔️ Descubre cómo integrar herramientas de análisis de código con tus pipelines para aumentar la calidad de tus despliegues (Capítulo 9, Minuto 7:33). ✔️ Evita problemas legales: te enseño qué datos personales no debes almacenar ni procesar (Capítulo 5, Minuto 11:15)