Skip to content
Apothem
Conceptos

Secuencia de revisión y auditoría

La secuencia de auditoría de once comandos que revisa Apothem antes del lanzamiento.

La secuencia de revisión y auditoría es el barrido de aseguramiento de calidad de once comandos que revisa un proyecto antes del lanzamiento. Cada comando audita un área de calidad y emite hallazgos que deben corregirse o resolverse de forma explícita.

Dos orquestadores canónicos impulsan estas once dimensiones. /audit las ejecuta en paralelo como una sola pasada de solo-informe — produce un informe de hallazgos deduplicado y clasificado por severidad, y nunca edita el código fuente. /fortress es el bucle cerrado de remediación (detectar → verificar → remediar → reauditar → compuerta) que endurece un proyecto hasta un estado regido por la compuerta de lanzamiento. Cada dimensión también sigue siendo invocable por separado.

Las once áreas de auditoría

ComandoEjeEstándar
/code-reviewCalidad del códigoRevisión de oficio por archivo
/code-auditCorpus de códigoAnálisis forense entre archivos
/security-auditSeguridadOWASP ASVS v4 + Top 10
/perf-auditRendimientoCore Web Vitals + método USE
/architecture-reviewArquitecturaConformidad con el artefacto de diseño
/ux-reviewExperiencia de desarrolloErgonomía de la CLI + incorporación
/a11y-auditAccesibilidadWCAG 2.2 AA
/docs-reviewDocumentaciónCalidad en diez dimensiones
/dependency-auditDependenciasLicencia + CVE + frescura
/supply-chain-auditCadena de suministroSLSA + Sigstore + SBOM
/threat-model-auditModelo de amenazasSTRIDE + PASTA

Compuertas de preparación para el lanzamiento

La secuencia contribuye a las compuertas de preparación para el lanzamiento:

  • Compuerta local: las comprobaciones locales de conformidad pasan.
  • Compuerta de GitHub (previa al corte): verificación del lado de GitHub — flujos de trabajo de CI en verde en cada commit, en cada comprobación.
  • Compuerta de auditoría: secuencia de revisión completa — las once áreas auditadas, hallazgos resueltos, elementos a vigilar documentados.

Ciclo de remediación

Los comandos de auditoría son de solo-informe: presentan hallazgos, nunca aplican correcciones. La remediación se ejecuta a través de /fortress, el bucle cerrado que sigue el patrón de iterar-hasta-verde: los hallazgos se clasifican y verifican, las correcciones se aplican en la superficie propietaria de cada hallazgo, se vuelve a ejecutar la auditoría y el ciclo continúa hasta que los hallazgos se resuelven y la compuerta de lanzamiento pasa. La elevación de todo el repositorio al mejor estándar actual se ejecuta a través de /elevate.

Por qué existe la secuencia

La calidad del software se degrada a lo largo de varias dimensiones a la vez. Una sola revisión puede pasar por alto defectos que se sitúan entre la calidad del código, la seguridad, el rendimiento, la arquitectura, la accesibilidad, la documentación, la postura de dependencias y la postura de la cadena de suministro. La secuencia de auditoría aplica esas lentes por separado para que la compuerta de lanzamiento vea el perfil de riesgo completo.

On this page