Categorías

Categorías Jacar — explora los temas Un cohete cuyos ojos siguen el cursor.
Tecnología

Falco: deteccion de amenazas en tiempo de ejecucion con eBPF

Falco es un proyecto graduado de la CNCF que engancha el kernel de Linux con eBPF y detecta comportamientos anómalos en syscalls sin instrumentar ninguna aplicación. Se despliega como DaemonSet en Kubernetes, emite eventos en JSON y necesita proceso de triaje para aportar valor. En producción, la alert fatigue es el problema más común.

Metodologías

DevSecOps practico con Sigstore y cosign

Firmar imágenes y artefactos con Sigstore dejó de ser un experimento raro: proyectos como Kubernetes ya lo usan. El modelo keyless de cosign, Fulcio y Rekor elimina la gestión de claves privadas, pero solo protege de verdad si el despliegue verifica la identidad de quien firmó, no solo si existe una firma.

Cómo Instalar

Como instalar Docker en Debian 12 paso a paso

Instalar Docker en Debian 12 significa sustituir el paquete docker.io de la distribución por el repositorio oficial: importas la clave GPG en /etc/apt/keyrings, instalas los cinco paquetes docker-ce, docker-ce-cli, containerd.io, docker-buildx-plugin y docker-compose-plugin, y configuras rotación de logs y live-restore en daemon.json antes de exponer el servidor a producción.

Tecnología

Cloudflare Workers: computo en el edge sin contenedores

Cloudflare Workers ejecuta JavaScript y WebAssembly en más de 300 datacenters usando V8 isolates, con cold start de 0-5 ms y sin contenedores. El stack edge (KV, Durable Objects, R2, D1) cubre la mayoría de necesidades sin llamar al origin. Ideal para edge logic, APIs ligeras y proxies; no encaja con workloads CPU intensivas ni módulos Node nativos.

Tecnología

Zero Trust: principios para dejar de confiar en la red

Zero Trust no es un producto, es una arquitectura de seguridad. Descarta la suposición de que la red interna es confiable y verifica cada acceso explícitamente, con el mínimo privilegio posible, asumiendo que ya existe un compromiso activo. Los cinco principios: verificar explícitamente, mínimo privilegio, asumir compromiso, validar el dispositivo y visibilidad continua.

Arquitectura

containerd: el runtime que sustenta a Kubernetes

containerd es el runtime que ejecuta los contenedores en la mayoría de los clusters Kubernetes modernos, y casi nadie lo nota. Gestiona todo el ciclo de vida del contenedor: descarga de imagen, arranque, red y montaje de filesystem. Se convirtió en el runtime por defecto tras la retirada del dockershim en Kubernetes 1.24, en mayo de 2022.

Desarrollo de Software

WASI 0.2: la nueva interfaz estandar para WebAssembly

WASI Preview 2 redefine la forma en que WebAssembly interactúa con el sistema operativo. Introduce el Component Model con interfaces WIT tipadas y capabilities granulares, lo que permite componer módulos escritos en lenguajes distintos sin serialización manual. El estándar completo llega en 2024 con impacto directo en edge functions, plugins y serverless.

Arquitectura

eBPF: observabilidad en el kernel sin recompilar

eBPF es una tecnología del kernel de Linux que permite cargar y ejecutar programas verificados con alto rendimiento, sin recompilar el kernel ni reiniciar el sistema. Corre de forma segura en una máquina virtual dentro del kernel y es la base de herramientas como Cilium, Pixie, Falco y Tetragon para tracing, redes y seguridad en tiempo real.

Industria 4.0

Gemelos digitales: cuando la fabrica tiene replica en software

Un gemelo digital es una replica software de un activo fisico (maquina, linea de produccion o planta entera) sincronizada en tiempo real con sensores IoT. Permite predecir fallos, optimizar consumo energetico y entrenar operadores sin riesgo. Aporta valor real cuando el activo es critico, los datos son fiables y el equipo puede mantener el modelo.

Arquitectura

PostgreSQL 16: novedades que cambian el dia a dia

PostgreSQL 16, publicado en septiembre de 2023, suma replicación lógica desde un standby, la vista pg_stat_io para desglosar el I/O por tipo de operación y contexto, y paralelismo en FULL OUTER JOIN. Migrar desde la 15 es sencillo; la 13 pierde soporte en noviembre de 2025, así que conviene planificar la actualización cuanto antes.

Desarrollo de Software

Rust en el kernel de Linux: primeros pasos y polémicas

Rust ya está en el kernel de Linux desde la versión 6.1, aunque su adopción avanza con cautela. El driver Apple AGX para Asahi Linux es el más destacado entre los primeros drivers reales en upstream. El objetivo es eliminar de raíz los errores de seguridad de memoria en drivers nuevos, sin reescribir el código C existente.

Tecnología

El cambio de licencia de Terraform y sus implicaciones

El 10 de agosto de 2023, HashiCorp cambió la licencia de Terraform de MPL 2.0 a la Business Source License v1.1, que prohíbe construir productos competidores. Para el 95% de equipos que usan Terraform internamente, el impacto práctico es nulo. Quien construya un SaaS sobre Terraform necesita revisar su situación o migrar a OpenTofu.

Herramientas

OpenTofu: la respuesta abierta al cambio de licencia de Terraform

OpenTofu es el fork comunitario de Terraform, nacido en 2023 tras el cambio de HashiCorp a la Business Source License. Gobernado por la Linux Foundation con compatibilidad total de archivos .tf y providers, es una alternativa juridicamente segura para organizaciones con politicas estrictas de open source o para quienes construyen productos sobre Terraform.

Herramientas

Trivy y Grype: escaneo de imágenes de contenedor en el CI

Trivy y Grype son las dos herramientas open-source líderes para escanear imágenes de contenedor en pipelines CI/CD. Ambas detectan CVE en paquetes de sistema operativo y dependencias de lenguaje con menos del 5% de diferencia de cobertura. Trivy destaca en el escaneo de IaC; Grype integra de forma nativa el flujo SBOM con Syft.

Arquitectura

Kubernetes 1.27: las novedades que importan a los operadores

Kubernetes 1.27 ("Chill Vibes"), publicado en abril de 2023, estabiliza SeccompDefault para bloquear syscalls peligrosos por defecto, lleva KMS v2 a beta con claves rotables para cifrar secrets en etcd, y estabiliza los scheduling gates. También elimina PodSecurityPolicy sin alternativa de migración tardía: sin migrar antes a Pod Security Admission, el salto de versión queda bloqueado.

Tecnología

Ataques a la cadena de suministro: lecciones de 2023

En 2023, la cadena de suministro de software fue el blanco favorito de los atacantes: MOVEit expuso datos de cientos de organizaciones por una vulnerabilidad 0-day, el instalador de 3CX llegó troyanizado a millones de usuarios, y npm y PyPI siguieron recibiendo paquetes maliciosos por typosquatting. La defensa práctica combina SBOM, firma de artefactos con Sigstore, niveles SLSA y escaneo continuo de dependencias.

Herramientas

El stack Grafana: Loki, Tempo y Mimir para observabilidad abierta

El stack Grafana combina tres proyectos open source: Loki para logs, Tempo para trazas y Mimir para métricas. Los tres guardan los datos en object storage (S3/GCS) con un índice mínimo, en vez de indexarlo todo como Elasticsearch, lo que abarata mucho el coste a gran volumen y permite correlacionar métrica, log y traza desde un mismo panel de Grafana.

Arquitectura

OpenTelemetry: la unificación de logs, métricas y trazas

OpenTelemetry es el proyecto de la CNCF, graduado en mayo de 2026, que unifica logs, métricas y trazas bajo un único SDK y el protocolo OTLP, sin atarte a un backend concreto. Las trazas son estables desde 2021 y las métricas desde 2023; los logs siguen madurando, pero ya compensan en proyectos nuevos.

Desarrollo de Software

WebAssembly: el modelo de componentes como próxima frontera

WebAssembly gana terreno fuera del navegador gracias a WASI, la interfaz de sistema estándar, y al modelo de componentes, que define interfaces declarativas en WIT para componer módulos entre lenguajes distintos. El arranque en frío es de aproximadamente 1 ms frente a los 500 ms de un contenedor, una diferencia clave para equipos de serverless y edge computing.

Arquitectura

Vault de HashiCorp para gestión de secretos

HashiCorp Vault centraliza la gestión de secretos con rotación automática, auditoría de cada acceso y políticas granulares por servicio. Genera credenciales efímeras que caducan en minutos, no en años. Para equipos que trabajan con ficheros .env en servidores, Vault ofrece secretos dinámicos, trazabilidad completa y control de acceso real.

Arquitectura

Cilium y el futuro de la red de contenedores con eBPF

Cilium reemplaza iptables con programas eBPF en el kernel de Linux, sustituyendo cadenas lineales O(n) por lookups hash O(1). Los benchmarks muestran hasta un 50 % menos de latencia, el doble de throughput y un 70 % menos de CPU de kernel en clústeres Kubernetes.

Inteligencia Artificial

LLaMA 2 y la nueva ola de modelos de lenguaje abiertos

Meta publicó LLaMA 2 el 18 de julio de 2023 con licencia comercial libre de royalties, en tres tamaños (7B, 13B, 70B parámetros). El modelo 70B iguala o supera a GPT-3.5 en benchmarks estándar. Para el 99,9 % de las organizaciones la licencia permite descargar, modificar y ejecutar el modelo en producción con privacidad total.

Herramientas

nerdctl: una alternativa ligera a Docker sobre containerd

nerdctl es un CLI compatible con Docker que habla directamente con containerd, el runtime estándar en Kubernetes desde que se retiró dockershim en 2022. Añade soporte rootless por defecto, imágenes cifradas con ocicrypt, lazy-pulling y CNI nativo. Encaja mejor en entornos que ya ejecutan containerd, aunque Docker Engine sigue ganando en Compose avanzado y Swarm.