dependencias
5 artículos con esta etiqueta
Corregir CVE de dependencias de verdad: escanear, corregir, aislar y seguir vigilando
El trabajo de vulnerabilidades no termina cuando «lo corriges». Hecho = 1) escanear, 2) corregir, 3) aislar/delegar, 4) monitorear. Hasta que el monitoreo (detección diaria de cambios) esté en marcha, está incompleto — las dependencias vuelven a ser vulnerables mañana. Una corrección perfecta que el siguiente despliegue sobrescribe vale cero. Los equipos pequeños se mantienen seguros con dos disciplinas: detección automatizada de cambios y «local→push→deploy».
Instalar y usar osv-scanner: encuentra CVE en tus dependencias
osv-scanner escanea lockfiles y contenedores para sacar a la luz CVE en tus dependencias, gratis. Esto recorre la instalación, la ejecución y la integración en CI, además de cuándo usarlo frente a npm/pnpm audit y Dependabot. La visión de este sitio: la herramienta correcta la decide TU configuración — recurre a osv-scanner en proyectos multiecosistema o sin GitHub, y al pnpm audit incluido para un único árbol npm.
Log4Shell (CVE-2021-44228) — la noche en que el mundo temió un fallo que ni siquiera podía confirmar tener
El fallo de CVSS 10.0 de Log4j. El verdadero miedo era la dependencia transitiva: estar afectado a través de una librería que no sabías que usabas. Un camino pasivo de registro de logs se convirtió en vector de ataque. SBOM, monitorización automática, parcheo rápido y seguir los CVE de seguimiento son las lecciones.
La puerta trasera de XZ Utils (CVE-2024-3094) — cuando la confianza misma era el objetivo
Un mantenedor de confianza plantó una puerta trasera en xz: un ataque a la cadena de suministro. El «esto va lento» de un ingeniero lo detectó justo antes de la estable. El objetivo no era el código, sino las personas y la confianza. Minimiza dependencias, fija versiones, compila de forma reproducible, persigue anomalías y apoya a los mantenedores.
Ejecutar Next.js de forma segura: no quedarse atrás con los CVE publicados
El mayor riesgo del framework son los CVE publicados descuidados. Defiende con cuatro pilares: juzgar por la versión en ejecución, monitorear con Dependabot/osv-scanner, actualizar rápido, y operar con mínimo privilegio. La visión de este sitio: los desarrolladores indie no pierden por conocimiento sino por continuidad operativa — gana con un sistema que no falla, no con velocidad.