Mejores Prácticas de Configuración

Sin un archivo .env.example, los nuevos colaboradores no saben qué variables de entorno se requieren, lo que lleva a soluciones inseguras como hardcodear valores.

Sin reglas de ESLint orientadas a seguridad, vulnerabilidades comunes como sinks XSS, dangerouslySetInnerHTML y uso de eval() pasan desapercibidas en code review.

Sin hooks de pre-commit que escaneen en busca de secrets y problemas de seguridad, los desarrolladores pueden accidentalmente pushear API keys y contraseñas al repositorio.

Un .gitignore que no cubre archivos .env, artefactos de build y configuraciones de IDE puede llevar a que secrets o datos sensibles sean accidentalmente commiteados.

Los npm scripts que obtienen y ejecutan código remoto, o que incrustan secrets como argumentos de shell, son un riesgo de supply chain y exposición de credenciales.

Un proyecto sin un lockfile commiteado puede instalar diferentes versiones de dependencias en cada máquina, haciendo builds no reproducibles y ataques de supply chain más difíciles de detectar.

Los archivos de prueba con direcciones de email reales, números de teléfono o credenciales que parecen de producción pueden filtrar PII y crear confusión de seguridad.