La seguridad es primordial en la mentalidad de desarrollo de Hotjar. Hemos incorporado controles de seguridad internos y externos en el proceso de desarrollo de la aplicación de Hotjar.
Directrices de codificación de Hotjar
Hotjar siempre establece nuestro norte para ofrecer valor a los clientes con actualizaciones iterativas pequeñas que generan cambios impactantes y significativos. Nuestras directrices de codificación brindan a nuestros ingenieros la capacidad de ser audaces con los cambios mientras mantienen enfoque y comprensión de las consideraciones de seguridad.
El proceso de control de cambios de Hotjar es cómo mantenemos nuestro enfoque en la seguridad. Para hacer esto, implementamos algunas directrices básicas para la codificación, que incluyen:
- Conjuntos de cambios atómicos. Hacemos commit cuando la tarea está terminada.
- Comentar la metodología. Tener un comentario que diga "aumentar I en 1" es en el mejor de los casos inútil, en el peor, antiguo e incorrecto. Siempre documentamos la intención: por qué estamos haciendo esto.
- Mantener las funciones cortas. Cada función debe hacer una sola cosa.
- Mantener las cosas privadas. La encapsulación es algo genial. Exponer una interfaz de módulo lo más pequeña posible al público.
- El proceso de Gestión de Cambios de Hotjar guía el desarrollo a través de varios puntos de control en los que los cambios se confirman desde los entornos de desarrollo a producción.
- Un cambio se inicia una vez que la historia entra en un sprint.
- Se ejecuta una suite completa de pruebas automatizadas por nuestro sistema de Integración Continua contra cualquier revisión que sea un candidato a lanzamiento.
La revisión de código la realiza un desarrollador diferente al que implementa el cambio. Por lo general, son del mismo equipo a menos que se requiera experiencia relevante de un equipo diferente. Cuando se involucran cambios más grandes, a menudo involucramos a más de un revisor. Si todas las pruebas pasan y el revisor está satisfecho con la solicitud de extracción, pueden aprobarla. Esto permite que la solicitud de extracción se fusione en nuestra rama principal más adelante.
- Un desarrollador se prepara para implementar su cambio. Nuestro sistema de compilación mantiene quién puede implementar en cada entorno y en qué momento para garantizar que las implementaciones se manejen de manera consistente.
- Cada servicio por separado se implementa primero en un entorno de pruebas donde se puede realizar la verificación manual final.
- Una vez que se completa la verificación en el entorno de pruebas, Hotjar continúa con la implementación en el entorno de producción. Si todo se ve como se esperaba sin alertas, luego fusionamos la solicitud de extracción en la rama principal y cerramos la historia.
Pruebas de penetración
Hotjar colabora con consultoras líderes en la industria para realizar evaluaciones de seguridad de terceros y pruebas de penetración. El objetivo de estas evaluaciones es validar los propios métodos de seguridad de Hotjar con una perspectiva 'externa'.
- Las evaluaciones se realizan al menos anualmente
- Los resultados se comunican a todos los miembros del equipo, y los esfuerzos de remediación se supervisan de acuerdo con la criticidad de los problemas descubiertos.
- La última evaluación de seguridad externa se completó el: 30 de agosto de 2023.
Programa de recompensas por errores
Ninguna tecnología es perfecta, y Hotjar cree que trabajar con investigadores de seguridad expertos en todo el mundo es crucial para identificar debilidades en cualquier tecnología. Hotjar fomenta la divulgación responsable y puedes leer más al respecto en nuestro Programa de recompensas por errores de divulgación responsable.