Categorías

Categorías Jacar — explora los temas Un cohete cuyos ojos siguen el cursor.
Metodologías

Semgrep: SAST moderno en tu pipeline

Semgrep ha crecido hasta convertirse en uno de los análisis estáticos más pragmáticos del ecosistema. Reflexión sobre por qué funciona donde otros SAST fracasan y cómo meterlo en un pipeline sin que se convierta en ruido.

Tecnología

Deno 2.0: compatibilidad con Node sin perder identidad

Deno 2.0 salió en octubre de 2024 con una apuesta clara: compatibilidad seria con npm, pnpm, package.json y node_modules, manteniendo la identidad del runtime. Medio año después, miramos qué ha supuesto para proyectos reales y dónde sigue cojeando.

Tecnología

Estándares NIST PQC finales: qué hacer con ellos ahora

El NIST publicó los estándares definitivos de criptografía post-cuántica en agosto de 2024. Medio año después, toca pasar de la noticia al plan: inventario, cripto-agilidad, cronograma realista y los errores típicos de quien se lanza ya.

Desarrollo de Software

WASI preview 3: hilos y async en WebAssembly

WASI 0.3 (preview 3) se ratificó el 11 de junio de 2026 y añade concurrencia asíncrona nativa al modelo de componentes de WebAssembly mediante streams, futures y funciones async. Resuelve la fragmentación entre lenguajes y runtimes, habilita composición real entre servicios Wasm y abre camino a los hilos cooperativos previstos en próximas versiones 0.3.x.

Mac

Apple Silicon M3 y M4: el avance silencioso en cómputo portátil

M3 y M4 consolidaron la ventaja de Apple Silicon: memoria unificada de hasta 128 GB compartida entre CPU, GPU y Neural Engine, autonomía de 12 a 16 horas en uso real, y un Neural Engine con 38 TOPS que ejecuta modelos de lenguaje grandes en el propio portátil. Para desarrolladores, la diferencia es tangible.

Herramientas

Vector: un agente de logs que merece la pena probar

Vector es el agente de observabilidad de Datadog, escrito en Rust con su propio lenguaje de transformación VRL. Consume entre 30 y 100 MB en operación y soporta logs, métricas y trazas desde docenas de orígenes. Compensa frente a Fluent Bit cuando los pipelines son complejos, y sustituye a Logstash evitando la JVM.

Tecnología

eBPF para profiling continuo: Parca y Beyla

El profiling continuo con eBPF captura flame graphs de CPU de todos los procesos de un nodo Linux las 24 horas, sin instrumentar código ni reiniciar servicios, con menos del 1 % de overhead. Parca cubre el clúster completo, Beyla añade métricas y trazas HTTP/gRPC automáticas, y Pyroscope aporta detalle nativo por lenguaje en los servicios más críticos.

Tecnología

NIST PQC: los estándares de criptografía post-cuántica

En agosto de 2024, el NIST publicó los primeros estándares definitivos de criptografía post-cuántica: FIPS 203 (ML-KEM) para intercambio de claves, FIPS 204 (ML-DSA) para firmas digitales y FIPS 205 (SLH-DSA) como alternativa basada en hash. Sustituyen a RSA y ECDSA antes de que un ordenador cuántico pueda romperlos, y ya hay implementaciones híbridas activas en Chrome y Cloudflare.

Tecnología

Trivy y Grype un año después: cuál ha madurado mejor

Trivy y Grype llevan tiempo compitiendo por ser el escáner de contenedores de referencia. Trivy amplió su alcance a IaC, Kubernetes y repositorios Git, todo en un solo binario; Grype se especializó en la máxima precisión del SBOM y en reducir los falsos positivos. Tras un año de uso intensivo en CI con imágenes reales, aquí va un análisis comparado de dónde gana cada uno.

Arquitectura

Kubernetes 1.30: las mejoras que de verdad agradecen los operadores

Kubernetes 1.30, publicada en abril de 2024, lleva ValidatingAdmissionPolicy a disponibilidad general y elimina la necesidad de webhooks externos para políticas CEL. Añade pod scheduling readiness para controlar cuándo entra un pod en el ciclo de scheduling, y job success policy para definir qué índices deben completar un Job distribuido.

Metodologías

Alertmanager: el árbol de routing que no despierta al equipo a las 3 de la mañana

Alertmanager mal configurado convierte cualquier incidente en ruido: un receptor único sin agrupar acaba con el canal de Slack ignorado en una semana. Este artículo repasa, con Alertmanager 0.27 y Prometheus 2.54, cómo diseñar el árbol de routing, las reglas de inhibición, los silencios y las rotaciones de guardia para frenar la fatiga de alertas sin perder incidentes reales.

Herramientas

Docker Scout: vulnerabilidades desde el build hasta el registro

Docker Scout analiza imágenes de contenedor de forma continua contra bases de CVE como NVD y fuentes ecosistema-específicas, y sugiere cambios de imagen base para eliminar vulnerabilidades. Integrado en Docker Desktop y Hub, compite con Trivy, Grype y Snyk. Encaja mejor en equipos que ya usan el ecosistema Docker de extremo a extremo.

Herramientas

Grafana Beyla: auto-instrumentación sin tocar código

Grafana Beyla es un agente eBPF que instrumenta automáticamente aplicaciones existentes sin tocar su código: observa las syscalls del kernel y genera trazas OpenTelemetry y métricas RED para servicios en Go, Java, Python, Node y Rust. Aporta cobertura amplia e inmediata, pero no sustituye al SDK manual para métricas de negocio y lógica interna.

Arquitectura

Cloudflare Workers en 2024: KV, D1 y la nueva pila edge

Cloudflare Workers dejó de ser una función edge aislada: en 2024, junto con KV, D1, R2 y Durable Objects, forma una plataforma completa que iguala a AWS en latencia y elimina los cargos de egress, aunque todavía no cubre bien el compute de larga duración ni las bases de datos gestionadas maduras que sí ofrece AWS.

Cómo Instalar

Cómo instalar CrowdSec como WAF comunitario

CrowdSec se instala en Debian o Ubuntu con un script oficial y el paquete crowdsec; después se activan las collections de Traefik, WordPress y Gitea, se configura la acquisition para leer los logs correctos, y se añade el bouncer de Traefik como middleware para bloquear o mostrar captcha a las IPs marcadas por la LAPI en tiempo real.

Desarrollo de Software

Rust en Linux: drivers experimentales que abren camino

Rust entró en el árbol principal de Linux en la versión 6.1 (2022) y en la 6.9 (2024) ya suma drivers experimentales, incluido el driver GPU de Asahi para Apple Silicon. En proyectos C/C++ como Chromium, alrededor del 70 % de los bugs de seguridad graves son de memoria, la razón de fondo del debate entre mantenedores del kernel sobre adoptarlo.

Desarrollo de Software

WASI 0.2 GA: WebAssembly componible de verdad

WASI 0.2 alcanzó GA en enero de 2024 y con ella el Component Model de WebAssembly llegó a producción: interfaces WIT tipadas que permiten componer código Rust, Go y JavaScript sin glue code manual. El cambio hace viables hoy edge functions con cold start inferior a 1 ms, plugins seguros y sandboxing de código no confiable, aunque no sustituye a los contenedores en apps tradicionales.

Arquitectura

Valkey: el fork abierto tras el cambio de licencia de Redis

Redis pasó a licencia dual SSPL/RSAL en marzo de 2024, dejando de ser open source según la OSI. Valkey nació como fork BSD 3-Clause respaldado por AWS, Google Cloud, Oracle y la Linux Foundation, con compatibilidad total de protocolo con Redis 7.2. La migración es casi siempre trivial: cambiar el binario o la imagen Docker.

Inteligencia Artificial

Llama 3: el nuevo estándar abierto de Meta

Llama 3 es la familia de modelos abiertos que Meta lanzó el 18 de abril de 2024 en 8.000 y 70.000 millones de parámetros, entrenada con 15 billones de tokens. El 70B superó a Claude Sonnet, Mistral Medium y GPT-3.5 en la evaluación humana de Meta, y su licencia permite uso comercial gratuito hasta 700 millones de usuarios activos al mes.

Tecnología

Chainguard Images: imágenes mínimas y firmadas

Chainguard Images son contenedores Docker minimalistas de la empresa creadora de Sigstore, con cero CVEs conocidos, SBOMs firmados con Cosign y reconstrucciones diarias sobre Wolfi, su propia distribución con glibc. Compensan frente a imágenes oficiales cuando hay compliance estricta, auditorías de cadena de suministro o cargas con datos sensibles en producción.

Tecnología

Falco: deteccion de amenazas en tiempo de ejecucion con eBPF

Falco es un proyecto graduado de la CNCF que engancha el kernel de Linux con eBPF y detecta comportamientos anómalos en syscalls sin instrumentar ninguna aplicación. Se despliega como DaemonSet en Kubernetes, emite eventos en JSON y necesita proceso de triaje para aportar valor. En producción, la alert fatigue es el problema más común.