Introducción

En los últimos sprints Sentry pasó de ser un dashboard de threat intelligence a una plataforma multi-tenant con conexión directa a Azure, snapshots históricos, justificaciones de cumplimiento y reporte ejecutivo. Este post resume las mejoras más relevantes que han llegado al producto.

Sprint 1 — Multi-tenant Azure Cloud Connect

La mejora más visible: cualquier usuario autenticado puede ahora conectar su propio tenant de Azure desde la interfaz, sin intervención del administrador del dashboard.

Esto habilita:

  • Lectura del estado de seguridad real del tenant del usuario.
  • Comparación de los CVEs descubiertos por el pipeline con los activos reales del cliente.
  • Despliegue como SaaS multi-tenant, donde cada cliente conecta su propia suscripción.

Modelo de Propiedad de Tenant

Se introdujo un modelo de tenant ownership: cada conexión queda vinculada al usuario que la creó, y solo ese usuario (o su tenant) puede verla.

Aislamiento Estricto

Sobre ese modelo se añadió strict tenant isolation: cero visibilidad cross-tenant, incluso para administradores del dashboard. Esta es una decisión de diseño explícita: ningún rol elevado dentro de Sentry puede ver datos de tenants ajenos. Esto simplifica enormemente el discurso de cumplimiento y privacidad cuando se ofrece el servicio a múltiples organizaciones.

Sprint 2 — Cloud Assets + Historical Snapshot Tracking

Con la conexión al tenant ya operativa, llegó el inventario:

  • Cloud Assets: enumeración de recursos relevantes del tenant conectado para cruzar con los CVEs detectados.
  • Historical Snapshot Tracking: cada ejecución guarda una foto del estado, lo que permite responder preguntas como “¿qué riesgos tenía hace 30 días?” o “¿estoy mejor o peor que el mes pasado?”.

Esto convierte a Sentry de una herramienta puramente reactiva (lo que pasa hoy) en una herramienta también de tendencia (cómo evoluciona la postura de seguridad a lo largo del tiempo).

Sprint 3 — Compliance Justifications + Audit Export

El siguiente sprint llevó la plataforma al terreno de la auditoría:

  • Compliance justifications: para cada hallazgo o decisión de no remediar, el analista puede registrar la justificación de cumplimiento. Esto es crítico cuando un CVE se marca como Ignored en el Workflow y el auditor pregunta por qué.
  • Audit export: exportación lista para entregar a un auditor con todos los hallazgos, decisiones y justificaciones asociadas.

Estas dos piezas cierran el ciclo: el dashboard ya no es solo donde se ve la amenaza y se gestiona, sino también donde queda la evidencia que demuestra el control.

Sprint 4 — Executive Report + Placeholders AWS/GCP

El sprint más reciente añadió:

  • Executive Report: reporte de alto nivel pensado para CISOs y dirección, con foco en resumen, tendencia y acciones tomadas.
  • Placeholders AWS y GCP: los hooks para soportar otros proveedores cloud además de Azure ya están en el código, preparando la siguiente expansión multi-cloud.

Mejoras en el Reporte

Dentro del executive report se afinaron varios detalles importantes:

  • Mapeo correcto de paquetes npm a CVE IDs reales (más de 50 paquetes conocidos), evitando que un advisory de paquete aparezca sin su CVE asociado.
  • CVE IDs reales con enlace a NVD y abreviación de UUIDs de assessments para mejorar la legibilidad.
  • Fix en la API de Secure Score: corrección de la versión de API a 2020-01-01 (la 2021-06-01 no estaba soportada en todos los entornos) y fallback que lista todos los scores cuando ascScore no está disponible.

Resiliencia: Restore desde Azure Blob

Una mejora operativa importante: al arrancar el contenedor, los datos se restauran desde Azure Blob Storage, lo que permite que el servicio sobreviva a redespliegues sin perder estado. Antes, un redeploy implicaba esperar al siguiente run del pipeline; ahora el dashboard tiene datos desde el primer segundo.

Sprint 5 — Rebrand y UX (mayo 2026)

La iteración más reciente se centró en pulir la marca y la experiencia de usuario:

  • Rebrand a “Sentry”: el producto pasó de llamarse “CVE Sentry” a simplemente Sentry en todo el código, sidebar y barra superior móvil. El nombre corto refleja mejor el alcance actual de la plataforma, que ya va más allá de un mero agregador de CVEs.
  • Accent indigo: el color primario cambió de magenta a indigo, alineando la paleta con el tono más sobrio que demanda un producto de seguridad empresarial.
  • Watchlists rediseñadas: nueva página con colores e iconos consistentes, y un estado vacío informativo en lugar de la lista pelada anterior.
  • Favoritos rediseñados: la página de favoritos adoptó el mismo estilo que watchlists para una experiencia coherente.
  • Responsive en móvil: arreglos en la UX móvil para watchlists, favoritos, top bar, página de Reporte y página de Audit. Sentry ya es perfectamente usable desde el teléfono.
  • Top Findings humanizados: los títulos de hallazgos provenientes de Azure Defender se transforman a texto legible para humanos, en lugar de los identificadores técnicos crudos.

Hardening de Seguridad

En paralelo a las features se hizo un ethical hacking audit y se corrigieron 9 vulnerabilidades en una sola pasada. Esto incluyó tanto el frontend (auth, exposición de datos) como el backend (validación, manejo de tokens). Para un producto que se vende como plataforma de seguridad, esto no es opcional.

Otras mejoras relacionadas:

  • Eliminación del flag deprecado instrumentationHook en la configuración de Next.js (ya es automático en Next.js 15+).
  • Exclusión del directorio .claude/ del repositorio para evitar commits accidentales de secretos.
  • Mejoras en la MoreMenu móvil para mostrar perfil de usuario y sign-out de forma consistente.

Resumen de Cambios

SprintEntregableImpacto
1Multi-tenant Azure Cloud Connect + aislamiento estrictoHabilita SaaS multi-cliente
2Cloud Assets + Historical SnapshotPasa de reactivo a tendencia
3Compliance justifications + Audit exportCierra el ciclo auditoría
4Executive Report + placeholders AWS/GCPHabla a la dirección y prepara multi-cloud
5Rebrand a Sentry, accent indigo, watchlists/favoritos rediseñados, móvil responsive, Top Findings humanizadosPulido de marca y UX
HardeningFix de 9 vulns + restore desde BlobProducción robusta

Conclusión

Sentry pasó en muy poco tiempo de un dashboard de feeds CVE a una plataforma multi-tenant lista para SaaS, con foco real en cumplimiento y reporte ejecutivo. Las próximas iteraciones llevarán el modelo a AWS y GCP, completando la promesa multi-cloud que ya está latente en el código.

Si te interesa probarlo, la instancia pública acepta sign-in con Microsoft, GitHub o Google. El repositorio está bajo licencia AGPL-3.0.