La seguridad está a la vanguardia de la mentalidad de desarrollo de Hotjar. Hemos incorporado puntos de control de seguridad internos y externos en el proceso de desarrollo de la aplicación Hotjar.
Directrices de codificación de Hotjar
Hotjar siempre establece nuestra estrella del norte para ofrecer valor a los clientes con pequeñas actualizaciones iterativas que ofrecen cambios impactantes y significativos. Nuestras directrices de codificación proporcionan a nuestros ingenieros la capacidad de ser audaces con los cambios, manteniendo el enfoque y la comprensión de las consideraciones de seguridad.
El proceso de control de cambios de Hotjar es la forma en que mantenemos nuestro enfoque de seguridad. Para ello, implementamos algunas directrices básicas para la codificación, que incluyen:
- Cambios atómicos. Nos comprometemos cuando la tarea está terminada.
- Comentar la metodología. Un comentario que diga "aumenta I en 1" es, en el mejor de los casos, inútil y, en el peor, antiguo e incorrecto. Siempre documentamos la intención - por qué estamos haciendo esto.
- Las funciones deben ser cortas. Cada función debe hacer una cosa y sólo una cosa.
- Mantén las cosas privadas. La encapsulación es una gran cosa. Exponer una interfaz de módulo lo más pequeña posible al público.
- El proceso de Gestión de Cambios de Hotjar guía el desarrollo a través de varios puntos de control en los que los cambios se comprometen desde el desarrollo a los entornos de producción.
- Un cambio se inicia una vez que la historia entra en un sprint.
- Nuestro sistema de integración continua ejecuta un amplio conjunto de pruebas automatizadas contra cualquier revisión que sea candidata a lanzamiento.
La revisión del código la realiza un desarrollador distinto del que implementa el cambio. Suelen ser del mismo equipo, a menos que se requiera la experiencia de otro equipo. Cuando se trata de cambios de mayor envergadura solemos implicar a más de un revisor. Si se superan todas las pruebas y el revisor está satisfecho con el pull request, puede aprobarlo. Esto permite que el pull request se fusione en nuestra rama principal más adelante.
- Un desarrollador hace cola para desplegar su cambio. Nuestro sistema de compilación mantiene quién puede desplegar en cada entorno y en qué momento para garantizar que los despliegues se realizan de forma coherente.
- Cada servicio por separado se despliega primero en un entorno de ensayo donde puede tener lugar la verificación manual final.
- Una vez realizada la verificación en el entorno de ensayo, Hotjar continúa el despliegue en el entorno de producción. Si todo se ve como se esperaba sin alertas entonces fusionamos la solicitud de pull en la rama principal y cerramos la historia.
Pruebas de penetración
Hotjar se compromete con consultorías líderes en la industria para realizar evaluaciones de seguridad de terceros y pruebas de penetración. El objetivo de estas evaluaciones es validar los propios métodos de seguridad de Hotjar con una perspectiva "externa".
- Las evaluaciones se realizan al menos una vez al año.
- Los resultados se comunican a todos los miembros del equipo y se supervisan las medidas correctoras en función de la gravedad de los problemas detectados.
- La última evaluación de seguridad externa se completó el 1 de septiembre de 2022.
Programa Bug Bounty
Ninguna tecnología es perfecta, y Hotjar cree que trabajar con investigadores de seguridad cualificados de todo el mundo es crucial para identificar debilidades en cualquier tecnología. Hotjar fomenta la divulgación responsable a través del programa HackerOne.
Nuestro programa nos proporciona la capacidad de supervisar y revisar continuamente nuestra aplicación y, cuando sea necesario, identificar y remediar los riesgos.
Si crees que has encontrado un problema de seguridad en nuestro producto, te recomendamos que te pongas en contacto con nuestro equipo de soporte para solicitar una invitación al programa. Volver arriba