La seguridad es una prioridad en la mentalidad de desarrollo de Hotjar. Hemos incorporado puntos de control de seguridad internos y externos en el proceso de desarrollo de la aplicación de Hotjar.
Directrices de codificación de Hotjar
Hotjar siempre establece nuestra estrella polar en brindar valor a los clientes con actualizaciones iterativas pequeñas que generan cambios impactantes y significativos. Nuestras directrices de codificación brindan a nuestros ingenieros la capacidad de ser audaces con los cambios mientras mantienen el enfoque y la comprensión de las consideraciones de seguridad.
El proceso de control de cambios de Hotjar es cómo mantenemos nuestro enfoque en la seguridad. Para hacer esto, implementamos algunas directrices básicas para la codificación, que incluyen:
- Conjuntos de cambios atómicos. Hacemos commit cuando la tarea está terminada.
- Comentar la metodología. Tener un comentario que diga "aumentar I en 1" es, en el mejor de los casos, inútil, y en el peor de los casos, antiguo e incorrecto. Siempre documentamos la intención, es decir, por qué estamos haciendo esto.
- Mantener las funciones cortas. Cada función debe hacer una sola cosa.
- Mantener las cosas privadas. La encapsulación es algo bueno. Exponer una interfaz de módulo lo más pequeña posible al público.
- El proceso de gestión de cambios de Hotjar guía el desarrollo a través de varios puntos de control en los que los cambios se confirman desde los entornos de desarrollo hasta los de producción.
- Un cambio se inicia una vez que la historia entra en un sprint.
- Nuestro sistema de integración continua ejecuta una suite completa de pruebas automatizadas contra cualquier revisión que sea un candidato a lanzamiento.
La revisión de código la realiza un desarrollador diferente al que implementa el cambio. Por lo general, son del mismo equipo, a menos que se requiera experiencia relevante de otro equipo. Cuando se trata de cambios más grandes, a menudo involucramos a más de un revisor. Si todas las pruebas pasan y el revisor está satisfecho con la solicitud de extracción, puede aprobarla. Esto permite que la solicitud de extracción se fusione en nuestra rama principal más adelante.
- Un desarrollador se pone en cola para implementar su cambio. Nuestro sistema de compilación mantiene quién puede implementar en cada entorno y en qué momento para garantizar que las implementaciones se manejen de manera consistente.
- Cada servicio por separado se implementa primero en un entorno de preparación donde se puede realizar una verificación manual final.
- Una vez que se completa la verificación en el entorno de preparación, Hotjar continúa implementando en el entorno de producción. Si todo se ve como se esperaba y no hay alertas, luego fusionamos la solicitud de extracción en la rama principal y cerramos la historia.
Pruebas de penetración
Hotjar se involucra con consultoras líderes en la industria para realizar evaluaciones de seguridad de terceros y pruebas de penetración. El objetivo de estas evaluaciones es validar los propios métodos de seguridad de Hotjar desde una perspectiva "externa".
- Las evaluaciones se realizan al menos una vez al año.
- Los resultados se comunican a todos los miembros del equipo, y los esfuerzos de remediación se supervisan de acuerdo con la criticidad de los problemas descubiertos.
- La última evaluación de seguridad externa se completó el: 30 de agosto de 2023.
Programa de recompensas por errores
Ninguna tecnología es perfecta y Hotjar cree que trabajar con investigadores de seguridad expertos en todo el mundo es crucial para identificar debilidades en cualquier tecnología. Hotjar fomenta la divulgación responsable a través del programa HackerOne.
Nuestro programa nos brinda la capacidad de monitorear y revisar continuamente nuestra aplicación, y en caso necesario, identificar y remediar riesgos.
Si crees que has encontrado un problema de seguridad en nuestro producto, te recomendamos ponerte en contacto con nuestro equipo de soporte a continuación para solicitar una invitación al programa. Volver arriba