rankion.ai
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français 🇪🇸 Español
Metodología open-source · v1.0

Skill de auditoría de seguridad

La metodología exacta que utilizamos para ejecutar nuestras auditorías de seguridad mensuales — trazable públicamente.

Aviso de traducción — La versión alemana de este documento es el original jurídicamente vinculante. Esta traducción se proporciona únicamente con fines informativos. En caso de discrepancia entre esta traducción y la versión alemana, el texto alemán prevalece. Ver versión alemana de referencia.

¿De qué se trata?

Esta página documenta rankion-security-audit — un skill de Claude Code que ejecutamos internamente para revisar mensualmente Rankion en busca de problemas de seguridad (y de manera ad-hoc antes de cada despliegue importante). Los resultados — en forma redactada — aparecen en /es/trust/security-audits.

Publicamos metodología, checklist y reglas de redacción para que puedas comprender qué comprobamos y por qué ciertos detalles no son públicos (responsible disclosure: las vulnerabilidades concretas permanecen privadas hasta que están parcheadas).

Cómo lo ejecutamos

La auditoría es un skill de Claude Code — un workflow versionado de prompts y comandos bash que un ingeniero dispara en una sesión de Claude Code. Esto es intencionadamente no un cron de caja negra:

  • cada paso está documentado en el markdown del skill (véase abajo)
  • cada salida es verificada por el ingeniero contra la checklist
  • los findings se escriben en dos archivos: un informe JSON privado (para el pipeline interno de parches) y un Markdown público redactado (para el registro del Trust Center)

Cadencia: mensual el día 15 (o el siguiente día hábil) más ad-hoc antes de cada despliegue que afecte a la autenticación, las sesiones, las dependencias o la configuración del entorno.

Definición del skill

El skill consta de tres archivos Markdown (definición del skill + dos archivos de referencia). Los pasos más importantes:

  1. Setup — comprobar el directorio de trabajo + git status, capturar la fecha, cargar archivos de referencia.
  2. Auditoría de dependenciascomposer audit + npm audit --omit=dev, contar resultados por gravedad.
  3. Comprobación de cabeceras HTTP — petición live contra rankion.ai, verificar las seis clases de cabeceras de seguridad.
  4. Verificación de configuración — pruebas de exposición contra `.env`, rutas de debug y directorios VCS.
  5. Escaneo de patrones de código — diff de los últimos 30 días, más greps estáticos para patrones peligrosos.
  6. Comprobación de versiones — releases de PHP y Laravel frente a la matriz de soporte.
  7. Generación de salida — JSON estructurado (privado) más Markdown redactado (público).
  8. Validación de la redacción — greps automatizados contra la lista permitida de privacidad (véase abajo).

Checklist de auditoría — las 7 áreas

A · Dependencias

composer audit + npm audit (solo producción). Versiones de Laravel y PHP frente a la matriz de soporte.

B · Cabeceras HTTP

HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy, Permissions-Policy. La cabecera Server no debe filtrar versiones.

C · Configuración

Archivos de entorno no recuperables, modo debug desactivado, ninguna ruta de dev accesible, ningún directorio VCS expuesto.

D · Autenticación / sesión

Tokens CSRF en formularios POST, cookies de sesión con Secure + HttpOnly + SameSite, tokens Sanctum hasheados, coste de bcrypt >= 10.

E · Patrones de código

Ningún riesgo de inyección SQL, ningún mass-assignment abierto, ningún unserialize/eval sobre entrada de usuario, validación segura de subida de archivos, escapado de salidas.

F · Específico de IA

Lista de encargados del tratamiento alineada en el inventario de código, la página de privacidad y el trust center; llamadas LLM estrictamente con scope de equipo; prompts con datos personales (PII) marcados.

G · Operacional

Copias de seguridad al día y restaurables, queue workers en buen estado, uso de disco < 80 %, sin anomalías de fuerza bruta.

Reglas de redacción

El skill escribe dos archivos por auditoría: un JSON completo (interno) y un Markdown redactado (público, en /es/trust/security-audits). Esta lista permitida separa ambos:

Publicado

  • Fecha de auditoría, auditor, alcance
  • Conteos agregados por gravedad (crítica / alta / media / baja)
  • Agregados de estado (p. ej. «todos los findings High remediados en 24 h»)
  • Resumen de la metodología y fecha de la próxima auditoría

NUNCA publicado (hasta corrección + 14 días)

  • Rutas de archivo del codebase
  • Números CVE de findings abiertos
  • Nombres y versiones de bibliotecas actualmente vulnerables
  • Rutas o parámetros HTTP de endpoints vulnerables
  • Pasos para reproducir exploits
  • Contenido de los campos JSON internos «details» y «remediation»

La validación se ejecuta automáticamente antes de cada commit: un conjunto de greps comprueba el Markdown público contra los patrones denegados. Ante una coincidencia, el archivo público se vuelve a redactar antes de permitir el commit/push.

Cadencia

  • Mensual el día 15 (o el siguiente día hábil) — auditoría baseline regular; el Markdown público aparece en /es/trust/security-audits.
  • Ad-hoc antes de cada despliegue importante con impacto sobre autenticación, sesiones, dependencias o configuración del entorno.
  • Plazos de parcheo: CVE críticos en 72 horas, altos en 7 días, medios en el sprint en curso.

¿Has encontrado una vulnerabilidad? Utiliza nuestro procedimiento de divulgación responsable. Confirmamos la recepción en 2 días hábiles.

← Volver al Trust Center

Última actualización: 03/05/2026 · Skill versión 1.0

Cookies: Utilizamos cookies necesarias para el funcionamiento y opcionales para mejoras. Detalles

Necesarias
Activo
Analítica
Marketing