seguridad-primorlisted

# 🔒 Seguridad Primor Revisión de seguridad antes de cualquier commit o entrega. ## Checklist rápido ### Secretos - [ ] ¿Hay API keys, tokens o contraseñas en el código? - [ ] ¿Se usan variables de entorno para todo secreto? - [ ] ¿Los archivos `.env` están en `.gitignore`? ```javascript // ❌ NUNCA const apiKey = "sk-abc123..." // ✅ SIEMPRE const apiKey = process.env.API_KEY if (!apiKey) throw new Error('API_KEY no configurada') ``` ### Input del usuario - [ ] ¿Todo input externo está validado? - [ ] ¿Se usan consultas parametrizadas para SQL? - [ ] ¿Se sanitiza el HTML antes de renderizar? - [ ] ¿Hay rate limiting en endpoints públicos? ### Dependencias - [ ] Ejecuta `npm audit` / `pip audit` / `cargo audit` - [ ] ¿Hay CVEs conocidas en las dependencias? - [ ] ¿Las dependencias están actualizadas? ### Autenticación y autorización - [ ] ¿Las rutas protegidas verifican autenticación? - [ ] ¿Los permisos se verifican en el servidor, no solo en el cliente? - [ ] ¿Los tokens JWT tienen expiración? ### Errores - [ ] ¿Los mensajes de error no revelan información sensible? - [ ] ¿Los stack traces no se envían al cliente en producción? ## Si encuentras algo 1. Reporta inmediatamente 2. No expongas el secreto en logs o commits 3. Si es un secreto expuesto: rótalo ya