ARIA · Plataforma interna iTechDev · Calidad · Seguridad · Innovación · Mejora continua

Cultura de Ingeniería · iTechDev

ARIA — La Plataforma Interna que nos Hace Mejores

ARIA es nuestra plataforma interna de operaciones de ingeniería. La usamos todos los días para asegurar calidad de código, escanear vulnerabilidades, adoptar herramientas nuevas y mejorar continuamente nuestros tiempos. No es un producto que vendemos — es la infraestructura silenciosa detrás de cada proyecto que entregamos.

Agendar conversación técnicaVer guía completa

100%

PRs revisados por ARIA

CVE

scanning continuo

OWASP

Top 10 automatizado

Audit

trail completo

Construimos ARIA por una razón simple: queríamos garantizar que cada proyecto que entregamos cumpla con los mismos estándares de calidad, seguridad y velocidad, independientemente del equipo asignado. Esta página explica para qué la usamos internamente. No estamos vendiendo ARIA — estamos transparentando cómo trabajamos. Si te genera curiosidad o quieres entender más de nuestros procesos antes de iniciar un proyecto, este es el sitio correcto.

Tabla de contenidos

  1. 01¿Qué es ARIA?
  2. 02Cómo ARIA se integra en tu proyecto
  3. 03Cómo aseguramos calidad de código
  4. 04Escaneo de vulnerabilidades y seguridad
  5. 05Adopción rápida de nuevas herramientas
  6. 06Mejora continua de tiempos
  7. 07Memoria organizacional persistente
  8. 08Gobernanza de cambios y trazabilidad

01

¿Qué es ARIA?

ARIA es la plataforma interna de iTechDev. Es un conjunto de herramientas, automatizaciones y dashboards que nuestros developers y arquitectos usan diariamente. La construimos nosotros, la mantenemos como cualquier producto serio (branch protection, code reviews obligatorios, tests, CI/CD) y la operamos en nuestra propia infraestructura privada.

Las áreas donde ARIA nos ayuda diariamente:

  • Calidad de código: linting, tests, coverage gates, análisis de complejidad ciclomática.
  • Seguridad: escaneo de vulnerabilidades, detección de secrets en commits, dependency audit, alertas de CVE.
  • Productividad: skills validados que automatizan tareas repetitivas, asistencia inteligente con contexto del proyecto.
  • Memoria organizacional: registro de decisiones técnicas, contexto de proyectos, conocimiento que sobrevive a rotación de equipo.
  • Observabilidad: dashboards internos de salud de proyectos, métricas DORA, identificación de riesgos.

02

Cómo ARIA se integra en tu proyecto

Esto es lo que sucede paso a paso desde el día 1 hasta producción:

1

Kick-off · Día 1

Creamos un workspace ARIA dedicado para tu proyecto. Configuramos integraciones con tu Git (GitHub/GitLab/Bitbucket), tu gestor de tickets (Jira/Linear) y tu canal de comunicación (Slack/Teams). Definimos políticas de seguridad: roles, gates de calidad, niveles de SLA.

2

Desarrollo · Cada commit

Cada commit del developer pasa por validaciones automáticas antes de llegar al PR: linting, pre-commit hooks que bloquean secrets, formato consistente. El developer recibe feedback inmediato local, sin esperar al CI.

3

Pull Request · Validación automática

Cuando se abre un PR, ARIA ejecuta en paralelo: análisis SAST (vulnerabilidades), tests automáticos, validación de coverage, dependency audit, container scanning si aplica. Si algo crítico falla, el PR queda bloqueado. Si pasa los checks, recibe una primera revisión automatizada antes del review humano.

4

Code Review humano

El reviewer humano se enfoca en lo conceptual: arquitectura, decisiones de negocio, edge cases. Lo mecánico (estilo, errores comunes, vulnerabilidades) ya fue revisado. CODEOWNERS asegura que el reviewer correcto sea asignado según el archivo modificado.

5

Merge y deployment

Al merge, ARIA dispara el pipeline de CI/CD configurado para tu proyecto. Cada deploy queda registrado con su versión, autor, cambios y aprobaciones. Si algo falla en producción, podemos hacer rollback en minutos al estado anterior verificado.

6

Monitoreo continuo · 24/7

ARIA observa la salud del proyecto en producción y la base de código. Cuando se publica una vulnerabilidad nueva (tipo Log4Shell) en una dependencia que usamos, recibimos alerta inmediata y abrimos un PR de remediación. Las métricas DORA se reportan al cliente en dashboard dedicado.

7

Memoria persistente · Continuo

Cada decisión técnica, conversación relevante con el cliente, bug resuelto y lección aprendida queda registrada con contexto. Si entra un developer nuevo, tiene ramp-up de 1-2 días en lugar de 2-3 semanas. Si necesitamos justificar una decisión en audit, el registro está disponible.

03

Cómo aseguramos calidad de código

Antes de que cualquier código llegue a producción, pasa por una cadena de validaciones automatizadas dentro de ARIA. No es opcional ni dependiente del developer:

  • Linting automatizado por lenguaje (ESLint, golangci-lint, Pylint, RuboCop, SonarQube) que detecta anti-patterns y errores comunes antes del review humano.
  • Test coverage gates obligatorios. Si una función crítica no tiene tests, el PR no se mergeaba. El threshold se configura por proyecto según riesgo.
  • Complejidad ciclomática medida automáticamente. Funciones complejas se marcan para refactor o documentación adicional.
  • Code review obligatorio con asistencia IA. Cada PR recibe una primera revisión de ARIA (estilo, errores, patterns) antes del review humano. El humano enfoca en lo conceptual.
  • Branch protection en repos: no se mergea a main sin checks verdes + aprobación de CODEOWNERS.

El objetivo no es ralentizar — es garantizar que la barra de calidad sea la misma para todos los proyectos, independientemente de quién esté trabajando.

04

Escaneo de vulnerabilidades y seguridad

La seguridad la tratamos como infraestructura, no como auditoría posterior. ARIA escanea continuamente cada proyecto que tocamos:

  • SAST (Static Application Security Testing) en cada PR. Detecta SQL injection, XSS, hardcoded credentials, weak crypto, path traversal, OWASP Top 10.
  • Dependency audit automático. Cada commit revisa npm/pip/maven/gradle vs base de datos NVD. Alertas inmediatas cuando se descubre una CVE en un paquete que usamos.
  • Secret scanning previo al commit (pre-commit hooks). Detecta API keys, tokens, passwords accidentalmente staged. Evitamos el ~70% de leaks comunes.
  • Container scanning con Trivy en cada build de Docker. Si la imagen base tiene CVE crítica, el deployment se detiene.
  • License compliance. ARIA verifica que las dependencias respetan las licencias permitidas según política del proyecto (MIT/Apache OK, GPL revisión, AGPL bloqueado).
  • Alertas proactivas de CVE. Cuando se publica una vulnerabilidad nueva (Log4Shell, Spring4Shell tipo de evento), ARIA correlaciona automáticamente con todos nuestros proyectos activos y nos avisa cuáles están expuestos.

Para clientes en industrias reguladas (fintech con CNBV, salud con COFEPRIS), exportamos los logs completos del scanning para auditoría.

05

Adopción rápida de nuevas herramientas

El ritmo de innovación en herramientas de desarrollo en 2026 es alto: nuevos scanners de seguridad, nuevos frameworks de testing, nuevas best practices, modelos de asistencia inteligente. Sin un sistema, los equipos se quedan rezagados porque cada developer adopta a su ritmo.

ARIA centraliza la evaluación e integración de herramientas nuevas:

  • Skills system: cuando aparece un nuevo workflow útil (ej: auditar performance de un endpoint), lo convertimos en un "skill" validado disponible para todos los developers. PR-review obligatorio antes de aprobación.
  • Asistencia inteligente: integramos modelos validados según nuestros estándares internos de seguridad y compliance. Los developers obtienen ayuda contextual al proyecto sin que tu organización deba gestionar suscripciones individuales ni exponer datos.
  • Patrón "early adopter controlled": 1-2 proyectos prueban herramientas nuevas con monitoreo intensivo. Si funcionan, escalan a todos. Si no, se descartan documentadamente para no perder tiempo en re-evaluaciones.
  • Knowledge sharing automatizado: cuando un developer resuelve un problema interesante, ARIA captura la solución y la disponibiliza al resto del equipo via memoria semántica.

06

Mejora continua de tiempos

No medimos velocidad como un objetivo aislado — la medimos para identificar dónde estamos perdiendo tiempo sin razón. ARIA recopila métricas DORA en todos los proyectos:

  • Deployment frequency: cuántas veces deployamos a producción. Si baja, indica friction en el pipeline.
  • Lead time for changes: desde commit hasta producción. Si sube, hay cuellos de botella.
  • Change failure rate: porcentaje de deploys que requieren rollback o hotfix. Si sube, hay problemas de calidad o testing insuficiente.
  • MTTR (mean time to recovery): tiempo de detección + corrección de incidentes. Si sube, hay déficit de observabilidad o runbooks.

Estos números los revisamos en retrospectivas mensuales. Si vemos degradación, investigamos causa raíz y aplicamos correctivo. No es métrica para presumir — es feedback loop interno.

07

Memoria organizacional persistente

Uno de los problemas más caros en cualquier proyecto de software es la pérdida de contexto: por qué se tomó una decisión, qué se probó antes, dónde está el código relevante, cómo se resolvió un bug específico hace 8 meses. Esa información típicamente vive en Slack, emails, cabezas de personas — y se pierde con rotación.

ARIA mantiene memoria persistente por proyecto:

  • Decisiones técnicas con fecha, autor y razonamiento.
  • Bugs resueltos y la solución completa (no solo el commit).
  • Conversaciones relevantes con el cliente sobre alcance, requisitos, prioridades.
  • Trade-offs explicados (por qué Postgres en lugar de MongoDB, por qué REST en lugar de GraphQL).
  • Diagramas de arquitectura versionados.

Cuando un developer entra a un proyecto existente (o regresa después de semanas), ARIA le da contexto en minutos en lugar de días.

08

Gobernanza de cambios y trazabilidad

Cada cambio en ARIA o en los proyectos que opera está gobernado de la misma forma que el código serio en cualquier empresa enterprise:

  • Branch protection en repos críticos. Main bloqueada — solo se mergea vía PR aprobado.
  • CODEOWNERS definidos por área del código. Reviewers obligatorios según el archivo modificado.
  • Audit logs de cada cambio: quién, cuándo, qué cambió, justificación.
  • Skills system con PR review: agregar un skill nuevo (workflow automatizado) requiere PR aprobado por el skill maintainer. No se acepta código sin revisión.
  • Hard enforcement en cloud + soft enforcement local: los developers pueden iterar local sin friction, pero al subir a cloud los gates son obligatorios.

Esto es lo que nos permite aceptar proyectos en industrias reguladas (CNBV fintech, INAI compliance) con confianza: el audit trail no es un add-on, es como operamos.

Preguntas frecuentes

¿ARIA es un producto que venden?+
No. ARIA es nuestra plataforma interna de operaciones — la usamos para asegurar que cada proyecto que entregamos cumpla los mismos estándares de calidad, seguridad y velocidad. La describimos públicamente porque hace parte de cómo trabajamos. Cuando un cliente nos pregunta "¿cómo aseguran calidad?" o "¿cómo identifican vulnerabilidades?", la respuesta no son slides — es ARIA.
¿ARIA me va a ahorrar algo en mi proyecto?+
Indirectamente: como toda nuestra operación opera sobre ARIA, los projectos heredan automáticamente los gates de calidad, escaneo de vulnerabilidades y trazabilidad. No te facturamos por ARIA — viene incluida como parte de cómo trabajamos.
¿Puedo ver los dashboards de mi proyecto?+
Sí. Para clientes activos creamos un workspace ARIA dedicado donde puedes ver el estado del proyecto, calidad de código, riesgos detectados y métricas relevantes en tiempo real. Sin esperar reportes semanales.
¿ARIA tiene acceso a mi código privado?+
Solo el código relacionado con tu proyecto y bajo NDA firmada. ARIA hace referencia al repositorio sin extraer código fuera de los sistemas autorizados. Si tu empresa requiere zero-data-out, configuramos ARIA en modo "metadata only" — funciona con menos contexto pero respeta restricciones.
¿Cómo me protege ARIA contra vulnerabilidades en mi código?+
Cada PR de tu proyecto pasa por scanning automatizado: SAST detecta OWASP Top 10, dependency audit revisa CVEs nuevos, secret scanning bloquea leaks accidentales, container scanning analiza imágenes Docker. Las alertas críticas escalan al lead técnico el mismo día.
¿ARIA usa servicios externos para asistencia inteligente?+
Solo modelos validados con nuestros estándares de seguridad y compliance. Los integramos a través de capas que aplican nuestras políticas internas (qué se envía, qué no, retención de datos, encriptación). Para clientes regulados (CNBV, INAI) configuramos ARIA en modo restringido que no envía código ni datos sensibles a ningún servicio externo. La asistencia funciona con menos contexto pero respeta los requisitos del cliente.
¿Qué pasa con ARIA si la regulación cambia (LFPDPPP, fintech CNBV)?+
Adaptamos los policies internos de ARIA y las plantillas de proyecto. Ejemplo: cuando entró el complemento Carta Porte 3.1 en CFDI, ARIA actualizó automáticamente los skills relacionados con SAT — los proyectos activos recibieron la nueva validación sin acción manual.
¿Cuánto tarda en estar lista la memoria de mi proyecto?+
El workspace ARIA se crea durante el kick-off. La memoria se va llenando desde día 1 con decisiones, conversaciones y commits. A los 30 días tiene contexto suficiente para que un developer nuevo entre sin necesidad de hand-off de 2 semanas.

¿Quieres entender más de cómo trabajamos?

Si estás evaluando empresas de desarrollo de software, agenda 30 minutos con nuestro equipo. Te mostramos los procesos reales, no solo slides.

Agendar conversación técnica

Artículos relacionados

Blog

Ciberseguridad para Empresas México 2026

Blog

IA para Empresas Mexicanas 2026