IZ-KnowledgeBase es un sitio estático de documentación. No maneja autenticación propia, sesiones, base de datos ni procesamiento de formularios. Los principales controles de seguridad están relacionados con acceso al contenido, secretos, dependencias, publicación y privacidad de la información documentada.
| Control | Estado | Observación |
|---|
| Sitio estático | Implementado | Reduce superficie de ataque backend. |
| Sin base de datos | Implementado | No hay persistencia runtime. |
| Sin secretos requeridos para build local | Implementado | No se requieren variables para compilar. |
| Idioma/configuración controlada | Implementado | Configurado en astro.config.mjs. |
| CSS propio | Implementado | Debe mantenerse sin romper layout Starlight. |
| Control de acceso al sitio | Pendiente | Depende de Cloudflare Access u otro mecanismo. |
No deben documentarse en texto plano:
- passwords;
- tokens de Cloudflare;
- credenciales de servidores;
- llaves SSH;
- connection strings con credenciales reales;
- API Keys;
- datos privados de clientes no autorizados;
- información contractual o comercial sensible.
| Regla | Criterio |
|---|
| Revisar contenido antes de publicar | Evitar exposición de datos internos sensibles. |
| No subir secretos en Markdown | Usar placeholders. |
| No publicar capturas con credenciales | Sanitizar imágenes antes de incluirlas. |
| Validar links externos | Evitar referencias obsoletas o incorrectas. |
| Definir acceso público/privado | Antes de publicar en producción. |
| Escenario | Recomendación |
|---|
| Documentación pública | Revisar contenido y eliminar información interna sensible. |
| Documentación interna | Proteger con Cloudflare Access, VPN o mecanismo equivalente. |
| Documentación por cliente | Separar contenido sensible por cliente y revisar permisos. |
| Riesgo | Mitigación |
|---|
Dependencias latest cambian comportamiento | Fijar versiones exactas para releases estables. |
| Paquetes desactualizados | Revisar dependencias periódicamente. |
| Build roto por actualización | Validar npm run build antes de publicar. |
| Pendiente | Prioridad |
|---|
| Definir si el sitio será público o privado | Alta |
| Configurar control de acceso si será interno | Alta |
| Fijar versiones exactas de dependencias | Media |
| Definir revisión editorial antes de publicar | Media |
| Definir responsables por sección | Media |
