Mike (@mikerb95) CodeByMike
Volver
/lab Ingeniería verificable

Laboratorio de
ingeniería.

Este sitio es también mi banco de pruebas: pipeline con rollback automático, chaos engineering, ataques controlados contra mi propia pasarela de pagos. Lo que ves abajo son los resultados reales, leídos de la misma base de datos que usa el sistema.

100%
Pipelines exitosos · 30d
52.2%
Cobertura de tests
17/17
Experimentos superados
3
Ataques absorbidos (pagos)
87.2%
Mutation score
Pipeline CI/CD · con health check y rollback automático

Cada push corre los tests y reporta el resultado aquí. Si el deploy pasa pero el health check post-deploy falla, el pipeline revierte solo. El repositorio y sus Actions son públicos: cada fila enlaza a los logs reales.

OK 5b54096 ↗ 2m 1s · 17 de jul, 01:15 a. m.
OK 90caa7d ↗ 2m 0s · 17 de jul, 01:11 a. m.
OK 2cace8b ↗ 2m 9s · 17 de jul, 01:09 a. m.
OK b851c9b ↗ 1m 38s · 17 de jul, 01:03 a. m.
OK 21b3730 ↗ 1m 37s · 17 de jul, 01:00 a. m.
OK 5df7ccb 53s · 17 de jul, 12:14 a. m.
OK eab41aa ↗ 2m 26s · 17 de jul, 12:01 a. m.
OK 3933a21 ↗ 1m 33s · 17 de jul, 12:00 a. m.
OK 03e7fee ↗ 1m 29s · 16 de jul, 11:56 p. m.
OK f30366b ↗ 1m 29s · 16 de jul, 11:48 p. m.
OK 41aacec ↗ 1m 22s · 16 de jul, 07:55 p. m.
OK 73d3a1b ↗ 2m 32s · 16 de jul, 07:52 p. m.
OK a1fbbcf ↗ 1m 31s · 16 de jul, 07:46 p. m.
OK 45acdc7 ↗ 1m 52s · 16 de jul, 07:39 p. m.
OK 39c4d7e ↗ 4m 1s · 16 de jul, 07:34 p. m.
Experimentos · chaos engineering y ataques controlados

Cada experimento define qué debería pasar (la defensa) y verifica qué pasó de verdad. «Superado» significa que el sistema se defendió solo: sin pagos duplicados, sin estados a medias, sin eventos huérfanos.

Caída de BD a mitad de una transacción de pago 13 corridas · superado última: 11 de jul, 07:33 p. m.
Aprobado y rechazado en carrera por el mismo pago 1 corrida · superado última: 4 de jul, 12:19 p. m.
Webhook tardío que intenta retroceder el estado 1 corrida · superado última: 4 de jul, 12:18 p. m.
Webhook duplicado (mismo evento dos veces) 1 corrida · superado última: 4 de jul, 12:18 p. m.
Doble clic en «pagar» (idempotencia concurrente) 1 corrida · superado última: 4 de jul, 12:18 p. m.
Seguridad & accesibilidad · análisis automático

Análisis estático de dependencias y código, más accesibilidad sobre las páginas públicas, en cada push. Lo que cuenta no es un scan verde sino el ciclo: cada hallazgo se sigue hasta que queda resuelto o aceptado a conciencia.

31
Abiertos
1
Resueltos
0
Aceptados
Pasarela de pagos · sandbox

Pasarela propia con llaves de idempotencia, máquina de estados sin retrocesos y verificación de firma en webhooks. Los contadores de abajo son eventos hostiles que llegaron y fueron detectados y neutralizados, no aplicados.

17
Pagos sandbox
1
Webhooks duplicados ignorados
2
Eventos fuera de orden contenidos
0
Montos adulterados rechazados
Analizador de sitios · abierto a cualquiera

Construido para mis compañeros de clase: pega cualquier dominio y obtén, en vivo, 12 pruebas — cabeceras de seguridad, certificado TLS, DNS, vencimiento del dominio, robots.txt, sitemap.xml, metadatos SEO, rendimiento básico, accesibilidad heurística y un reporte Lighthouse real vía la API de Google PageSpeed Insights. Todo se lee de respuestas HTTP públicas — nada intrusivo — con límite de 5 análisis por minuto por IP y protección anti-SSRF (rechaza IPs privadas o de red interna) para que no se pueda usar como proxy hacia infraestructura ajena.

Analizador de sitios

Pega un dominio y mira las 12 pruebas correr en vivo, con streaming de resultados.

Analizar un dominio →

Fingerprint de dispositivos

Demo interactiva: abre una sala desde dos dispositivos y mira cómo se identifican sin cookies ni login.

Probar en vivo →

Monitoreo y SLOs

Uptime, latencia p95 y presupuesto de error medidos por el motor de checks propio.

Ver /status →

Security Operations

Micro-SIEM propio: intentos de intrusión detectados y bloqueados, en agregado y en vivo.

Ver /security →
En construcción

Load testing (k6)

Latencia p50/p95/p99 bajo 100–1000 usuarios concurrentes contra un entorno de staging.

Cómo funciona esta página

Los datos no son capturas ni ejemplos: se leen en el servidor de la misma base (Turso/libSQL) donde el pipeline, los experimentos y la pasarela escriben sus resultados. Lo que falla también se muestra.

Los experimentos de chaos corren con cinturones de seguridad: TTL máximo de 15 minutos, rutas críticas excluidas por código y kill-switch. Todo el sistema es fail-open: un fallo del laboratorio nunca tumba el sitio.

El detalle crudo (parámetros, payloads, flags activos) vive en el panel privado. Aquí se publica el veredicto agregado — suficiente para verificar, sin regalar el mapa interno.