Add structured secure code audit report with prioritized vulnerabilities and remediation guidance

[Copilot]

Se realizó un análisis del código para identificar vulnerabilidades potenciales y entregar recomendaciones accionables de remediación. Este PR incorpora un informe técnico único, priorizado por riesgo, con trazabilidad a estándares de seguridad.

• Entregable principal

  • Se agrega SECURITY_AUDIT_REPORT.md en la raíz del repositorio.
  • El documento consolida hallazgos de seguridad verificables en código y una ruta clara de remediación.

• Hallazgos priorizados (P1–P4)

  • Incluye vulnerabilidades críticas/altas/medias detectadas en el código (p. ej., SQL Injection, SSRF, XSS, XXE, hashing débil, secretos hardcodeados).
  • Cada hallazgo sigue un formato uniforme para facilitar triage y ejecución técnica.

• Formato estandarizado por hallazgo

  • Severidad
  • Descripción
  • Líneas/archivo afectado
  • Riesgo técnico y de negocio
  • Mapeo a estándares (OWASP / NIST / COBIT)
  • Evidencia de código
  • Remediación recomendada
  • Snippet de código seguro sugerido

• Plan de acción incluido

  • Quick wins inmediatos para P1/P2.
  • Roadmap de remediación por horizonte (0–30, 31–60, 61–90 días).

Ejemplo del tipo de recomendación documentada:

await models.sequelize.query(
  'SELECT * FROM Users WHERE email = :email AND password = :password AND deletedAt IS NULL',
  {
    replacements: { email: req.body.email ?? '', password: security.hash(req.body.password ?? '') },
    model: UserModel,
    plain: true
  }
)

---

🔒 GitHub Advanced Security automatically protects Copilot coding agent pull requests. You can protect all pull requests by enabling Advanced Security for your repositories. Learn more about Advanced Security.