Curso · NG-C08 Secure coding 8–16 horas · 1 o 2 jornadas Hasta 12 alumnos Adaptado al stack
§00 — Curso 08 · Desarrolladores

Secure coding en el código
de tu propio equipo.

§01
Para quién

Para equipos de desarrollo y QA con código en producción.

Adaptamos los ejemplos y los laboratorios al stack real del cliente. Soportamos los seis stacks más comunes en empresa española y europea.

Perfil del alumno

  • A.01Backend y full stack seniorIdeal
  • A.02Backend junior con experiencia +1 añoEncaja
  • A.03Tech leads y arquitectosIdeal
  • A.04QA / SDET con foco en seguridadEncaja
  • A.05DevOps / SRE que mantiene pipelineRefuerzo

Stacks soportados

  • S.01JS / TS — Node, Express, Next.js, NestJS
  • S.02Python — Django, FastAPI, Flask
  • S.03Java — Spring Boot, Quarkus
  • S.04PHP — Laravel, Symfony
  • S.05.NET (ASP.NET Core) y Go (net/http, Gin)
§02
Programa

Nueve módulos. Cada vulnerabilidad explotada y arreglada.

Día 1: OWASP Top 10 aplicado al código real. Día 2: más allá del Top 10 — APIs, supply chain y pipeline. Cada módulo combina explotación en vivo y fix guiado sobre repo del alumno.

MÓDULO 01 · 60 min

Threat modeling ligero

STRIDE en 45 minutos aplicado a un endpoint real del cliente. Identificación de trust boundaries y superficies de ataque antes de escribir una sola línea.

MÓDULO 02 · 120 min

Inyecciones

Del SQLi manual a la parametrización, y por qué el ORM a veces no salva. NoSQL, command, LDAP, XPath y SSTI en Jinja, Twig y Freemarker. Lab: fix de 6 endpoints vulnerables.

MÓDULO 03 · 120 min

XSS, CSRF y el navegador

XSS reflejado, almacenado y DOM-based en SPA modernas. Content Security Policy que funciona de verdad y CSRF cuando SameSite no basta. Lab: diseñar una CSP funcional para el sitio del cliente.

MÓDULO 04 · 120 min

Autenticación y sesión

bcrypt/argon2 bien hechos, JWT vs cookies, OAuth2/OIDC con PKCE, state y nonce. MFA sin puertas traseras, refresh tokens sin errores y rate limiting con criterio.

MÓDULO 05 · 60 min

Autorización

Broken Access Control horizontal y vertical, IDOR en APIs REST reales. Policy as code con Casbin, OPA o ABAC ligero según stack. Lab: test de IDOR guiado.

MÓDULO 06 · 120 min

Criptografía aplicada

Qué primitivas usar y cuáles jamás. Cifrado en reposo, en tránsito, KMS y rotación. ECB, IV reutilizado y firmas sin verificar. Lab: auditar uso de crypto en repo propio.

MÓDULO 07 · 120 min

APIs y microservicios

OWASP API Security Top 10 — lo que falta en el clásico. Rate limiting, mTLS, gateway, mass assignment y deserialización insegura en YAML, pickle y Java.

MÓDULO 08 · 120 min

Dependencias y supply chain

SCA con Snyk, Dependabot y Trivy. Pinning, lockfiles, SBOM CycloneDX/SPDX. Typosquatting, dependency confusion y protestware con casos reales recientes.

MÓDULO 09 · 120 min

Testing y CI/CD

SAST (Semgrep, SonarQube), DAST (ZAP, Burp CI) e IAST. Secret scanning, Dockerfile seguro, distroless y escaneo de imágenes. Lab final: pipeline con cuatro gates de seguridad.

§03
Qué te llevas

Repo vulnerable, reglas Semgrep y un PR real arreglado.

Entregable 01Repo

Repo vulnerable Neural

ContenidoMás de cincuenta vulnerabilidades catalogadas en el stack del cliente para práctica posterior individual o por pares.
Entregable 02Semgrep

Reglas Semgrep personalizadas

CustomConjunto de reglas escritas a medida del cliente, listas para integrar en GitHub Actions o GitLab CI desde el primer día.
Entregable 03Pipeline

Pipeline CI/CD con cuatro gates

StackPipeline de referencia con secret scanning, SAST, SCA y DAST listo para clonar y adaptar al repositorio real del equipo.
Entregable 04PR audit

PR audit con fix real

SalidaCada alumno entrega un Pull Request con un fix real y recibe revisión 1 a 1 por un pentester o appsec senior.
Entregable 05Checklists

Checklists de code review

UsoListas accionables por tipo de cambio (auth, API, criptografía, dependencias) listas para pegar en plantillas de PR.
Entregable 06Frameworks

Mapeo OWASP ASVS y NIST SSDF

MappingMapeo con OWASP ASVS L1/L2 y NIST SSDF (SP 800-218) para auditorías y certificaciones.
§04
Formato

Dos jornadas, doce alumnos, labs en navegador.

Detalle operativo

  • F.01Duración8–16 h
  • F.02ModalidadPresencial u online
  • F.03AforoHasta 12
  • F.04StackAdaptado al cliente
  • F.05CertificaciónFUNDAE

Qué incluye siempre

  • I.01Repo vulnerable con 50+ casos
  • I.02Reglas Semgrep personalizadas
  • I.03Pipeline CI/CD de referencia
  • I.04Labs en navegador (sin instalación local)
  • I.05PR audit con revisión individual
§05
Preguntas

Dudas frecuentes.

¿Adaptáis los ejemplos a nuestro stack real?

Sí, es parte del trabajo previo. Si el equipo usa Node + Next.js + Postgres, todos los laboratorios y ejemplos están en ese stack. No traducimos «sobre la marcha» desde otro lenguaje.

¿Es compatible con un equipo con experiencia mixta junior/senior?

Sí. Las explotaciones son guiadas y las pistas se escalan. Los seniors profundizan en la parte de threat modeling y pipeline; los juniors consolidan los fundamentos con los mismos laboratorios.

¿Sirve para certificar a desarrolladores OWASP ASVS o SSDF?

Cubre el contenido relevante y entregamos un mapeo explícito con ASVS L1/L2 y SSDF (NIST SP 800-218). La certificación oficial es externa, pero el curso es preparación útil.

¿Podemos extender con revisión de PRs reales?

Sí. El formato extendido «Programa 3 meses» incluye revisión de PRs reales del equipo, office hours quincenales con experto e informe de madurez inicial y final.

§06 — Siguiente paso

Pide presupuesto o reserva 30 min para definir alcance.

Cuéntanos el stack, tamaño del equipo y nivel medio. Te respondemos con propuesta cerrada en 48 h o lo definimos en una llamada corta — incluyendo qué reglas Semgrep priorizar.

Solicitar presupuesto Reservar 30 min