Saltar al contenido

Seguridad para apps Claude Code

Comprobaciones con evidencia para apps creadas con Claude Code

Empieza por la URL desplegada y añade el código solo cuando sea necesario. BoringSec separa lo observado de lo que exige autorización o acceso al repositorio.

Útil antes del lanzamiento y después de cambios en autenticación, acceso a datos, dependencias o variables de entorno.

Escanea solo sistemas propios o para los que tengas autorización. Los motores profundos requieren autorización verificada y pueden no estar disponibles para un objetivo.

informe / hallazgo de ejemploIlustrativo
Crítico

Estructura de ejemplo del informe

Credencial de servidor expuesta en el cliente

Evidencia
Aparece un patrón compatible con una credencial privada en un bundle o código conectado; el valor se oculta.
Qué significa
El código entregado al navegador es público aunque el repositorio sea privado.
Corregir y verificar
Rota la credencial, mueve la operación al servidor, despliega de nuevo y verifica.

Este hallazgo es ilustrativo, no un resultado de tu aplicación. Los informes reales muestran el escáner, el estado de la evidencia y los límites de cobertura del objetivo.

Rutas de riesgo comunes

Qué merece una revisión más profunda

Son patrones de riesgo relevantes para proyectos de Claude Code, no afirmaciones sobre todos ellos. Solo aparece un hallazgo cuando un escáner aporta evidencia.

Secretos enviados al navegador

Credenciales de servidor pueden quedar públicas en la configuración frontend o los bundles.

Autenticación sin autorización

Una sesión válida no protege registros si faltan controles de propiedad en el servidor.

Deriva de configuración y dependencias

La iteración rápida puede conservar políticas permisivas, rutas de depuración o paquetes vulnerables.

Cobertura honesta

Qué puede demostrar cada superficie de escaneo

La URL, el código conectado y los motores profundos autorizados responden preguntas distintas. BoringSec separa las fuentes y muestra estados parciales, bloqueados o no disponibles.

Leer la metodología pública (en inglés)
URL en vivo

Superficie web desplegada

Comprueba TLS, cabeceras, cookies, CORS, archivos expuestos y señales tecnológicas observables.

URL en vivo

JavaScript enviado

Inspecciona bundles limitados del mismo origen y registra cobertura parcial.

Condicional

Motores profundos independientes

Nuclei, OWASP ZAP y Medusa se ejecutan solo con autorización verificada y disponibilidad.

Código conectado

Contexto del repositorio

Un repositorio conectado explícitamente añade señales de secretos, auth, dependencias y límites cliente/servidor.

De la observación a la verificación

Un informe orientado a la siguiente acción

  1. 01

    Observar

    Inspecciona la respuesta pública e inicia los motores en segundo plano que sean aplicables.

  2. 02

    Verificar evidencia

    Consulta qué se observó, qué escáner lo produjo y con qué confianza.

  3. 03

    Corregir con contexto

    Usa una corrección concreta y el contexto relevante para Claude Code.

  4. 04

    Volver a probar

    Ejecuta una evaluación nueva; la monitorización detecta regresiones posteriores.

Preguntas antes de escanear

¿BoringSec necesita credenciales de la plataforma?

No. El escaneo por URL observa la superficie pública; repositorio y contexto autenticado son conexiones separadas y explícitas.

¿Qué puede demostrar solo una URL?

Puede respaldar hallazgos observables, pero no demostrar que el código privado o los flujos autenticados sean seguros.

¿Un resultado limpio demuestra que la app es segura?

No. Las superficies no probadas, bloqueadas o no disponibles nunca se convierten en aprobados silenciosos.

¿El escaneo modifica el objetivo?

El flujo público usa solicitudes limitadas y no utiliza credenciales descubiertas ni modifica datos intencionadamente.

Comprueba la aplicación desplegada y verifica cada corrección

Empieza por la URL pública. Añade código o contexto autenticado solo cuando decidas ampliar la cobertura.

Iniciar un escaneo de seguridad