Aikido
Empezar gratis
No se requiere CC
Reglas

Eliminar la depuración y el código temporal antes de confirmar: Guía de seguridad y rendimiento

Error lógico

Publicado el:
14 de noviembre de 2025
Última actualización el:
14 de noviembre de 2025
Regla
Eliminar depuración y temporal temporal antes de confirmar. 
Código que pasa por alto lógica, salidas depuración de depuración,
o detiene la ejecución de ejecución para depuración era probablemente 
dejado detrás accidentalmente durante el desarrollo de el desarrollo.

Idiomas admitidos: 45+

Introducción

Depuración de código, console.log() lógica no comentada, valores de prueba codificados o depurador a producción más a menudo de lo que la mayoría de los equipos admiten. Estos artefactos exponen el estado interno de la aplicación, crean sobrecarga de rendimiento y señalan a los atacantes qué partes de su código base eran problemáticas durante el desarrollo. Lo que comienza como código temporal para la resolución de problemas se convierte en un riesgo permanente para la seguridad si no se elimina antes de la implantación.

Por qué es importante

Implicaciones para la seguridad: El código de depuración en producción a menudo registra datos sensibles como credenciales de usuario, claves API o PII que no deberían llegar a los registros de producción.
A console.log(usuario) puede volcar un objeto de usuario completo, incluidos los testigos de sesión, en la consola del navegador o en los registros del servidor, accesibles al personal de soporte o a las herramientas de agregación de registros. Esta es una de las vulnerabilidades de seguridad de código más comunes que detectan las herramientas automatizadas de revisión de código.

Impacto en el rendimiento: El registro excesivo de la consola crea cuellos de botella de E/S. Un punto final de alto tráfico que registre cargas útiles de solicitudes puede degradar los tiempos de respuesta en 15-30 ms por solicitud y aumentar los costes de almacenamiento de registros. El impacto en el rendimiento del registro en entornos de producción Node.js se agrava rápidamente a escala.

Mantenimiento del código: Confirmaciones temporales de código como if (true) return; o
// TODO: fix later eluden la lógica empresarial y crean confusión para futuros mantenedores. Representan una deuda técnica sin rastro de documentación.

Ampliación de la superficie de ataque: Las sentencias de depuración y el registro de errores verboso revelan rastros de pila, rutas de archivos, versiones de dependencias y flujo lógico interno, información útil para el reconocimiento durante ataques dirigidos.

Ejemplos de códigos

❌ No conforme:

async function processPayment(userId, amount) {
  console.log('Processing payment:', { userId, amount });

  const user = await db.users.findById(userId);
  console.log('User data:', user); // Logs email, tokens, everything

  debugger;

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  console.log('Gateway response:', result);
  return result;
}

Por qué es inseguro: Las sentencias de consola registran PII (Personally Identifiable Information) y tokens de autenticación en los logs de producción. El depurador comentado crea ambigüedad sobre las rutas de ejecución. Todos estos datos son accesibles a cualquiera con acceso a los registros y proporcionan a los atacantes datos de reconocimiento.

✅ Conforme:

async function processPayment(userId, amount) {
  const user = await db.users.findById(userId);

  if (!user) {
    throw new PaymentError('User not found');
  }

  const result = await paymentGateway.charge({
    userId: user.id,
    amount: amount
  });

  await auditLog.record({
    event: 'PAYMENT_PROCESSED',
    userId: userId,
    transactionId: result.transactionId
  });

  return result;
}

Por qué es seguro: El registro estructurado sustituye console.log con pistas de auditoría adecuadas que capturen los eventos de negocio sin exponer datos sensibles del usuario. No existen sentencias de depuración. La lógica fluye linealmente sin derivaciones condicionales. Los registros de auditoría están centralizados, tienen acceso controlado y sólo contienen el contexto necesario para el cumplimiento y la depuración.

Conclusión

El código depurado en producción no es un problema menor, es una vulnerabilidad de seguridad, un problema de rendimiento y una carga de mantenimiento. Seguir las mejores prácticas de revisión de código seguro significa detectar estos problemas antes de que lleguen a la rama principal. Las reglas automatizadas de calidad del código deberían impedir que el código depurado llegue al control de versiones, por no hablar de la producción. La clave está en disponer de las herramientas adecuadas para detectar estos problemas antes de que se fusionen.

Ir a:
Enlace de texto

Aplique esta regla en su repositorio

Pruébelo gratis
No se necesita tarjeta
Reservar una demostración
Comparte:

www.aikido.dev/code-quality-rules/remove-debugging-and-temporary-code-before-commits-a-security-and-performance-guide

Preguntas frecuentes

¿Tiene alguna pregunta?

¿Qué pasa con el registro legítimo en producción?

Utilice una biblioteca de registro estructurado como Winston, Pino o Bunyan para Node.js con niveles de registro configurables. La producción debe ejecutarse en INFO o AVISO nivel, nunca DEBUG. Registra sólo el contexto necesario, nunca objetos completos que contengan credenciales o tokens. Este enfoque de la depuración de producción mantiene la observabilidad sin los riesgos de seguridad de console.log.

¿Cómo depuro la producción sin console.log?

Implemente herramientas de observabilidad como soluciones APM (DataDog, New Relic), rastreo distribuido (Jaeger, Zipkin) y seguimiento de errores adecuado (Sentry, Rollbar). Estas herramientas proporcionan información estructurada sin ensuciar el código con sentencias de depuración. Para los problemas urgentes, añada temporalmente el registro detrás de las banderas de características con caducidad automática. Las herramientas de depuración de producción modernas le ofrecen una visibilidad mejor que consola declaraciones jamás podrían.

¿Y si necesito mantener el código comentado como referencia?

Muévelo al historial de control de versiones, que es donde debe estar. Si necesita hacer referencia a la lógica eliminada, enlace a la confirmación SHA en un comentario de código: // Implementación anterior: ver commit abc123. Esto mantiene limpio el código actual a la vez que preserva el historial y sigue las mejores prácticas de calidad del código.

¿Deberíamos bloquear todos los métodos de la consola?

No. console.error() y console.warn() tienen usos legítimos en producción para errores irrecuperables o advertencias de uso de API obsoletas. Elimina console.log(), console.debug(), console.trace(), y console.dir() antes de confirmar. La mayoría de las plataformas automatizadas de revisión de código pueden distinguir entre métodos de consola aceptables y problemáticos.

¿Qué ocurre con las sentencias de depuración en los archivos de prueba?

Los archivos de prueba pueden tener reglas diferentes. Es razonable permitir el depurador en archivos *.test.js o *.spec.js ya que nunca se ejecutan en entornos de producción. Las reglas de calidad del código deben dirigirse al código fuente, no a los conjuntos de pruebas.

¿Cómo gestionamos las dependencias de terceros que incluyen código de depuración?

No puedes controlar directamente el código de terceros, pero puedes elegir dependencias con una sobrecarga de depuración mínima, utilizar la arborescencia y la minificación para eliminar el código no utilizado y vigilar las actualizaciones que podrían reintroducir código de depuración. Aquí es donde los escáneres de seguridad que analizan el código y las dependencias resultan valiosos.

¿Cuál es el impacto en el rendimiento de la eliminación de todos los registros?

La verdadera ganancia de rendimiento viene de eliminar el registro de alta frecuencia en rutas calientes como manejadores de peticiones, bucles y transformaciones de datos. Un solo console.log() en un gestor de peticiones que procesa 1000 req/s crea 1000 operaciones de E/S por segundo. El registro estructurado estratégico añade menos de 1 ms de sobrecarga al tiempo que proporciona la observabilidad necesaria, por lo que es el equilibrio adecuado para la depuración de JavaScript en entornos de producción.

Normas relacionadas

28 de noviembre de 2025
-
Actualizaciones de productos y empresas

SCA en todas partes: Escanee y corrija dependencias de código abierto en su IDE

Lleve todo el flujo de trabajo de SCA a su IDE con la exploración en el editor y AutoFix. Detecte paquetes vulnerables, revise los CVE y aplique actualizaciones seguras sin abandonar el flujo de trabajo de desarrollo.

#SCA

#autofix

28 de noviembre de 2025
-
Actualizaciones de productos y empresas

Safe Chain ahora impone una edad mínima de los paquetes antes de la instalación

Safe Chain aplica ahora una antigüedad mínima de 24 horas a los paquetes para impedir que los atacantes utilicen nuevas versiones como punto de entrada. Bloquea el malware en una fase temprana y vuelve a las versiones seguras.

#Malware

#SCA

25 de noviembre de 2025
-
Vulnerabilidades y amenazas

Los ataques de Shai Hulud persisten a través de las vulnerabilidades de las acciones de GitHub

Los actores de la amenaza Shai Hulud están aprovechando las vulnerabilidades de GitHub Actions en una campaña de explotación en curso. Descubra el impacto y las medidas de seguridad recomendadas.

#Malware

#Vulnerabilidades

Asegúrese gratis

Proteja el código, la nube y el tiempo de ejecución en un sistema central.
Encuentre y corrija vulnerabilidades de forma rápida y automática.

Iniciar exploración
No se requiere CC
Reservar una demostración
No requiere tarjeta de crédito | Escanea resultados en 32segs.