Para combatir los ataques a la cadena de suministro de software, gestores de paquetes como npm, Yarn, Bun, pnpm, uv y otros están adoptando 'cooldowns' o periodos de espera para la instalación de nuevas versiones de paquetes. Esta medida, que implica retrasar la instalación de un paquete recién publicado durante un tiempo determinado (generalmente entre 7 y 21 días), permite a la comunidad y a los equipos de seguridad identificar y mitigar posibles versiones maliciosas antes de que se propaguen a miles de proyectos. La rápida adopción de esta funcionalidad, que ha surgido en los últimos seis meses, es inusual en el panorama de herramientas de desarrollo, donde la compatibilidad y la innovación a menudo compiten. Aunque algunos gestores de paquetes como Bundler y RubyGems aún no implementan esta característica de forma nativa, soluciones alternativas como gem.coop ofrecen cooldowns a nivel de índice. Herramientas de gestión de dependencias como Renovate y Dependabot también han integrado cooldowns, con algunas incluso estableciendo periodos de espera predeterminados. La implementación y la nomenclatura varían entre las herramientas, pero el objetivo es el mismo: fortalecer la seguridad del ecosistema de software.
Noticias agregadas con IA