Referencias Oficiales: Security · Sub-agents · Best Practices
En cambios de alto riesgo, primero gobernanza
Para auth/billing/permisos/migraciones, exige siempre:
- clase de riesgo explícita
- owner final de go/no-go
- trigger de rollback concreto
Cinco gates de gobernanza
- gate de calidad de código
- gate de review de seguridad/comportamiento
- gate de readiness operacional
- gate de comunicación
- gate de decisión final
Registro de decisión avanzada
Debe incluir:
- alcance
- clase de riesgo
- estado de gates
- riesgos residuales
- trigger + owner de rollback
- decisión final + timestamp
Regla de escalación
Si un bloqueo crítico persiste por dos ciclos:
- marcar
blocked - adjuntar evidencia
- asignar owner y deadline nuevos
Bloqueos sin owner son fallos de gobernanza.
Anti-patrones avanzados
Tests en verde = permiso de deploy
No es suficiente.
Go/no-go sin responsable nombrado
Genera vacío de decisión en incidentes.
Rollback solo teórico
Sin ensayo, no existe de verdad.
Checklist rápido
Antes de producción:
- clase de riesgo declarada
- gates evaluados
- owner final firmó
- rollback documentado y testeado
- escalación activa
La madurez avanzada se mide por seguridad bajo presión, no por velocidad aparente.