Auditoría SAST y Pipeline Seguro para una FinTech de Pagos en Bilbao
Visión general
De qué trata este proyecto.
Recibes 4 repositorios (Java Spring Boot, Node.js, Python, Go) con alrededor de 380.000 líneas combinadas. Configura Semgrep (rulepack pci-dss + p/owasp-top-ten) y CodeQL para las 4 stacks. Corre baseline y catalogará los 200-400 findings esperados por severidad (CWE — Common Weakness Enumeration). Triage colaborativo con 2 ingenieros senior: confirma true positives, descarta false positives con justificación. Diseña gates en CI: high/critical bloquean merge, medium requieren approval del security champion, low informativo. Mide tiempo extra por PR (objetivo bajo 6 minutos). Entrega configuración, baseline triaged, gates en pipeline, métricas + informe ejecutivo para QSA.
El Briefing
Lo que harás y lo que demostrarás.
Introducir SAST con Semgrep + CodeQL en CI con gates proporcionados al riesgo, generar baseline triaged y producir informe defendible al QSA.
Earning criteria — what you'll demonstrate
- Configurar SAST multi-stack sin convertirse en obstáculo de entrega
- Triagear findings distinguiendo true vs false positives con criterio
- Diseñar gates proporcionados al riesgo y a la carga del equipo
- Producir documentación trazable a controles PCI DSS específicos
Encaje académico
Dónde encaja esto en tus estudios.
Afina las mismas habilidades que tu titulación espera de ti.
Habilidades
Habilidades que demostrarás.
Cada una aparece en tu credencial verificada.
Carreras
Roles para los que esto te prepara.
Títulos reales. Puentes de habilidades reales. Elige el que más se acerque a tu trayectoria.