Mberne: Created page with "{{Meta-bok|min=3}} '''Shift-left security''' (seguridad desplazada a la izquierda) es la práctica de incorporar las pruebas y verificaciones de seguridad en las fases tempranas del ciclo de desarrollo —diseño, codificación e integración— en lugar de dejarlas para el final, cuando el código ya está en producción o en fases de certificación previas al despliegue. El nombre proviene de la imagen del ciclo de vida del software como una línea de tiempo horizontal..."

2026-05-22T07:34:05Z

Created page with "{{Meta-bok|min=3}} '''Shift-left security''' (seguridad desplazada a la izquierda) es la práctica de incorporar las pruebas y verificaciones de seguridad en las fases tempranas del ciclo de desarrollo —diseño, codificación e integración— en lugar de dejarlas para el final, cuando el código ya está en producción o en fases de certificación previas al despliegue. El nombre proviene de la imagen del ciclo de vida del software como una línea de tiempo horizontal..."

New page

{{Meta-bok|min=3}}
'''Shift-left security''' (seguridad desplazada a la izquierda) es la práctica de incorporar las pruebas y verificaciones de seguridad en las fases tempranas del ciclo de desarrollo —diseño, codificación e integración— en lugar de dejarlas para el final, cuando el código ya está en producción o en fases de certificación previas al despliegue. El nombre proviene de la imagen del ciclo de vida del software como una línea de tiempo horizontal: desplazar la seguridad "a la izquierda" significa adelantarla.

La práctica forma parte del movimiento '''DevSecOps''': la integración de la seguridad (Sec) en el flujo de DevOps, de forma que seguridad, desarrollo y operaciones compartan la responsabilidad sobre la seguridad del sistema.

== Por qué importa en contextos ágiles ==

El coste de detectar y corregir una vulnerabilidad de seguridad crece exponencialmente a medida que avanza el ciclo de desarrollo. Una vulnerabilidad detectada en la fase de codificación puede resolverse en horas; la misma vulnerabilidad detectada en producción puede requerir días de trabajo, afectar a usuarios reales y generar riesgo legal o reputacional.

En equipos ágiles con sprints cortos, la ventana temporal para detectar vulnerabilidades antes del despliegue es estrecha. Sin shift-left security, el equipo despliega frecuentemente pero también despliega vulnerabilidades frecuentemente.

== Prácticas que implementan shift-left security ==

* '''Modelado de amenazas en el diseño:''' identificar posibles vectores de ataque antes de escribir código, durante las sesiones de diseño de la solución.
* '''Análisis estático de seguridad (SAST):''' integrar herramientas de análisis estático en el pipeline de [[Integración continua|CI]] que detectan patrones de código inseguro en cada commit.
* '''Revisión de código con foco en seguridad:''' incluir criterios de seguridad explícitos en la [[Revisión por pares|revisión de código]].
* '''Tests de seguridad automatizados:''' incluir pruebas de seguridad básicas (inyecciones, manejo de autenticación, exposición de datos) en la suite de pruebas automatizadas.
* '''[[Definición de hecho|DoD]] con criterios de seguridad:''' ninguna historia se considera "done" si no ha pasado los criterios mínimos de seguridad definidos por el equipo.

== Shift-left security con IA ==

La adopción de [[Vibe coding|vibe coding]] y agentes de código ha aumentado la urgencia del shift-left security:

* El código generado por IA puede incluir vulnerabilidades conocidas que el agente reprodujo de ejemplos en sus datos de entrenamiento.
* Los agentes de IA tienden a priorizar la funcionalidad sobre la seguridad a menos que se especifique explícitamente en la spec o en los [[Guardrails|guardrails]].
* La velocidad de generación de la IA amplifica el riesgo: más código generado en menos tiempo significa más superficie de ataque potencial si no hay verificación temprana.

La [[Definición de hecho|DoD reforzada]] para equipos con IA incluye análisis de seguridad estático como componente obligatorio, lo que es una implementación directa de shift-left security.

== Error frecuente ==

<div class="bok-aviso">
'''Tratar la seguridad como una fase de "auditoría final" previa al despliegue.''' En equipos ágiles con sprints de dos semanas, una auditoría de seguridad al final del sprint bloquea el despliegue o fuerza a pasar por alto los hallazgos bajo presión de tiempo. Shift-left security solo funciona si está integrada en el flujo de trabajo diario, no si es una actividad separada que interrumpe el ritmo.
</div>

== Véase también ==

<div class="bok-tags">
[[DevOps]] [[Integración continua]] [[Definición de hecho]] [[QA asistido por IA]] [[Guardrails]] [[Revisión por pares]] [[Deuda técnica]]
</div>

<div class="bok-ecosistema">
<div class="texto">
<span class="titulo">'''¿Quieres avanzar en agilidad?'''</span>
<span class="sub">Puedes buscar convocatorias de cursos y exámenes o ir a tu ritmo haciéndote miembro del Club Agile. Esta membresía incluye recursos exclusivos, aulas e-learning y acceso a [https://scrummanager.com/skillarena/ '''Skill Arena''']: un espacio para practicar y medir tus habilidades ágiles a tu ritmo.</span>
</div>
<div class="botones">
<div class="bok-btn-outline">[https://www.scrummanager.com/website/c/calendar/show-courses.php Buscar convocatorias]</div>
<div class="bok-btn-filled">[https://scrummanager.com/club/ Club Agile]</div>
</div>
</div>

[[Category:Glosario de términos]]
[[Category:Prácticas técnicas]]
[[Category:Prácticas ágiles]]

Shift-left security - Revision history