Semgrep ha crecido hasta convertirse en uno de los análisis estáticos más pragmáticos del ecosistema. Reflexión sobre por qué funciona donde otros SAST fracasan y cómo meterlo en un pipeline sin que se convierta en ruido.
CodeQL lleva años siendo el motor de análisis estático de GitHub, pero su alcance real no siempre está claro. Balance de qué detecta bien, qué se le escapa y cómo conviene integrarlo en el flujo de revisión.
Deno 2.0 salió en octubre de 2024 con una apuesta clara: compatibilidad seria con npm, pnpm, package.json y node_modules, manteniendo la identidad del runtime. Medio año después, miramos qué ha supuesto para proyectos reales y dónde sigue cojeando.
El NIST publicó los estándares definitivos de criptografía post-cuántica en agosto de 2024. Medio año después, toca pasar de la noticia al plan: inventario, cripto-agilidad, cronograma realista y los errores típicos de quien se lanza ya.
WASI 0.3 (preview 3) se ratificó el 11 de junio de 2026 y añade concurrencia asíncrona nativa al modelo de componentes de WebAssembly mediante streams, futures y funciones async. Resuelve la fragmentación entre lenguajes y runtimes, habilita composición real entre servicios Wasm y abre camino a los hilos cooperativos previstos en próximas versiones 0.3.x.
M3 y M4 consolidaron la ventaja de Apple Silicon: memoria unificada de hasta 128 GB compartida entre CPU, GPU y Neural Engine, autonomía de 12 a 16 horas en uso real, y un Neural Engine con 38 TOPS que ejecuta modelos de lenguaje grandes en el propio portátil. Para desarrolladores, la diferencia es tangible.
Vector es el agente de observabilidad de Datadog, escrito en Rust con su propio lenguaje de transformación VRL. Consume entre 30 y 100 MB en operación y soporta logs, métricas y trazas desde docenas de orígenes. Compensa frente a Fluent Bit cuando los pipelines son complejos, y sustituye a Logstash evitando la JVM.
Terraform 1.6, 1.7, 1.8 y 1.9 han traído import blocks, removed, ephemeral values, un framework de tests nativo y el preview de stacks. Mientras tanto, OpenTofu consolida su fork tras el cambio a BSL.
El profiling continuo con eBPF captura flame graphs de CPU de todos los procesos de un nodo Linux las 24 horas, sin instrumentar código ni reiniciar servicios, con menos del 1 % de overhead. Parca cubre el clúster completo, Beyla añade métricas y trazas HTTP/gRPC automáticas, y Pyroscope aporta detalle nativo por lenguaje en los servicios más críticos.
En agosto de 2024, el NIST publicó los primeros estándares definitivos de criptografía post-cuántica: FIPS 203 (ML-KEM) para intercambio de claves, FIPS 204 (ML-DSA) para firmas digitales y FIPS 205 (SLH-DSA) como alternativa basada en hash. Sustituyen a RSA y ECDSA antes de que un ordenador cuántico pueda romperlos, y ya hay implementaciones híbridas activas en Chrome y Cloudflare.
Trivy y Grype llevan tiempo compitiendo por ser el escáner de contenedores de referencia. Trivy amplió su alcance a IaC, Kubernetes y repositorios Git, todo en un solo binario; Grype se especializó en la máxima precisión del SBOM y en reducir los falsos positivos. Tras un año de uso intensivo en CI con imágenes reales, aquí va un análisis comparado de dónde gana cada uno.
Kubernetes 1.30, publicada en abril de 2024, lleva ValidatingAdmissionPolicy a disponibilidad general y elimina la necesidad de webhooks externos para políticas CEL. Añade pod scheduling readiness para controlar cuándo entra un pod en el ciclo de scheduling, y job success policy para definir qué índices deben completar un Job distribuido.
Alertmanager mal configurado convierte cualquier incidente en ruido: un receptor único sin agrupar acaba con el canal de Slack ignorado en una semana. Este artículo repasa, con Alertmanager 0.27 y Prometheus 2.54, cómo diseñar el árbol de routing, las reglas de inhibición, los silencios y las rotaciones de guardia para frenar la fatiga de alertas sin perder incidentes reales.
Docker Scout analiza imágenes de contenedor de forma continua contra bases de CVE como NVD y fuentes ecosistema-específicas, y sugiere cambios de imagen base para eliminar vulnerabilidades. Integrado en Docker Desktop y Hub, compite con Trivy, Grype y Snyk. Encaja mejor en equipos que ya usan el ecosistema Docker de extremo a extremo.
Grafana Beyla es un agente eBPF que instrumenta automáticamente aplicaciones existentes sin tocar su código: observa las syscalls del kernel y genera trazas OpenTelemetry y métricas RED para servicios en Go, Java, Python, Node y Rust. Aporta cobertura amplia e inmediata, pero no sustituye al SDK manual para métricas de negocio y lógica interna.
Cloudflare Workers dejó de ser una función edge aislada: en 2024, junto con KV, D1, R2 y Durable Objects, forma una plataforma completa que iguala a AWS en latencia y elimina los cargos de egress, aunque todavía no cubre bien el compute de larga duración ni las bases de datos gestionadas maduras que sí ofrece AWS.
Kubernetes 1.31 no trae fuegos artificiales, pero cierra deudas antiguas: AppArmor llega a GA, los sidecars nativos ya funcionan habilitados por defecto camino a su estable en 1.33, y DRA avanza en alpha hacia la beta. Repaso práctico desde la óptica de quien opera clústeres en producción.
CrowdSec se instala en Debian o Ubuntu con un script oficial y el paquete crowdsec; después se activan las collections de Traefik, WordPress y Gitea, se configura la acquisition para leer los logs correctos, y se añade el bouncer de Traefik como middleware para bloquear o mostrar captcha a las IPs marcadas por la LAPI en tiempo real.
Rust entró en el árbol principal de Linux en la versión 6.1 (2022) y en la 6.9 (2024) ya suma drivers experimentales, incluido el driver GPU de Asahi para Apple Silicon. En proyectos C/C++ como Chromium, alrededor del 70 % de los bugs de seguridad graves son de memoria, la razón de fondo del debate entre mantenedores del kernel sobre adoptarlo.
WASI 0.2 alcanzó GA en enero de 2024 y con ella el Component Model de WebAssembly llegó a producción: interfaces WIT tipadas que permiten componer código Rust, Go y JavaScript sin glue code manual. El cambio hace viables hoy edge functions con cold start inferior a 1 ms, plugins seguros y sandboxing de código no confiable, aunque no sustituye a los contenedores en apps tradicionales.
Redis pasó a licencia dual SSPL/RSAL en marzo de 2024, dejando de ser open source según la OSI. Valkey nació como fork BSD 3-Clause respaldado por AWS, Google Cloud, Oracle y la Linux Foundation, con compatibilidad total de protocolo con Redis 7.2. La migración es casi siempre trivial: cambiar el binario o la imagen Docker.
Llama 3 es la familia de modelos abiertos que Meta lanzó el 18 de abril de 2024 en 8.000 y 70.000 millones de parámetros, entrenada con 15 billones de tokens. El 70B superó a Claude Sonnet, Mistral Medium y GPT-3.5 en la evaluación humana de Meta, y su licencia permite uso comercial gratuito hasta 700 millones de usuarios activos al mes.
Chainguard Images son contenedores Docker minimalistas de la empresa creadora de Sigstore, con cero CVEs conocidos, SBOMs firmados con Cosign y reconstrucciones diarias sobre Wolfi, su propia distribución con glibc. Compensan frente a imágenes oficiales cuando hay compliance estricta, auditorías de cadena de suministro o cargas con datos sensibles en producción.
Falco es un proyecto graduado de la CNCF que engancha el kernel de Linux con eBPF y detecta comportamientos anómalos en syscalls sin instrumentar ninguna aplicación. Se despliega como DaemonSet en Kubernetes, emite eventos en JSON y necesita proceso de triaje para aportar valor. En producción, la alert fatigue es el problema más común.
6 min2744,4
Usamos cookies propias y de terceros para analizar el tráfico del sitio. Puedes aceptarlas, rechazarlas o configurar tu elección.
Más información sobre las cookies
Preferencias de cookies
NecesariasImprescindibles para el funcionamiento del sitio. Siempre activas.
AnalíticasNos ayudan a entender cómo se usa el sitio (Google Analytics).