Log in
JavaScript Conferences
Node Congress 2026Node Congress 2026
ES

El Estado de la Seguridad de Node.js

Rafael Gonzaga
Rafael Gonzaga
Node.js TSC member
Video thumbnail
This video will go public in 29 days
Multipass and Full ticket holders have instant access to event recordings.
Please login if you have one.
Get Multipass

Register a free account to unlock access to this video in 14 days.

Bookmark
Rate this content

Proporcionaré un análisis en profundidad de las iniciativas lideradas por el Equipo de Seguridad de Node.js, explorando su importancia y los beneficios que aportan a los usuarios finales. Desde 2022, hemos logrado muchas tareas y el objetivo de esta charla es mostrar las iniciativas concluidas, destacando los avances realizados en el fortalecimiento de la seguridad de las aplicaciones Node.js. Además, revelaré lo que puedes esperar de los próximos lanzamientos, ofreciendo un vistazo al futuro de la seguridad de Node.js. Desde la gestión de vulnerabilidades hasta prácticas de codificación segura y más allá, esta charla te equipará con valiosos conocimientos sobre las medidas tomadas para mejorar la protección y garantizar un entorno Node.js más seguro.

This talk has been presented at Node Congress 2026, check out the latest edition of this JavaScript Conference.

node.jssecurity
Rafael Gonzaga
Rafael Gonzaga
27 min
26 Mar, 2026

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Introducción a la visión general de la seguridad de Node.js, definiendo vulnerabilidades, no vulnerabilidades y medidas preventivas. Discusión sobre la validación de entrada de la API de Node.js, vulnerabilidades reales como fallos del servidor HTTP, y la importancia de la seguridad de Node.js en plataformas ampliamente utilizadas. Discusión sobre la importancia del mantenimiento de Node.js, la introducción de permisos experimentales en Node.js 20, y la filosofía del cinturón de seguridad para proteger contra el código malicioso. Discusión sobre la importancia de mantener versiones actualizadas de Node.js y usar herramientas como npx isMyNodeVulnerable para verificaciones de seguridad. Discusión sobre la importancia de los lanzamientos de seguridad de Node.js, financiación y evaluación de vulnerabilidades de dependencias para un entorno Node.js más seguro. Uso de la Evaluación de Vulnerabilidades de Dependencias de Node.js para evaluar y abordar posibles vulnerabilidades, asegurando verificaciones de seguridad automatizadas y actualizaciones para un entorno Node.js más seguro. Automatización del proceso de lanzamiento de seguridad de Node.js, incluyendo archivos de configuración para dependencias, pruebas extensivas en varios entornos, y creación automática de problemas de lanzamiento de seguridad y publicaciones de blog. Soporte para varios entornos, pruebas extensivas con más de 55 suites y 5,000 pruebas unitarias, esfuerzos de automatización para agilizar procesos, y el establecimiento de un modelo de amenazas de mantenimiento para medidas de seguridad mejoradas. Para una sola solicitud de extracción, se necesitan seis horas para ejecutar pruebas, esfuerzos de automatización en progreso, modelo de amenazas de mantenimiento para abordar riesgos de seguridad, hoja de ruta del modelo de permisos, discusiones en curso sobre informes de seguridad, y planes para el Node.js Collaborator Summit. Participación activa de la comunidad en el desarrollo de la seguridad de Node.js, cuatro lanzamientos de seguridad de 2024 a 2026 abordando varias vulnerabilidades, estrategia de versión de fin de vida con Node.js 16 y 18 teniendo altas descargas semanales, y el enfoque para emitir CVEs para versiones de fin de vida. Ajuste de la estrategia del proyecto Node.js para CVEs para incluir versiones de fin de vida, importancia del modelo de amenazas de Node.js, límites de confianza y responsabilidades del desarrollador. Protección de Node.js contra datos de red, recomendaciones de actualización para diferentes versiones de Node.js, y próximos cambios en el calendario de lanzamientos de Node.js.
Available in English: The State of Node.js Security
Video transcription and chapters available for users with access.
Available in other languages:

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
Feross Aboukhadijeh
Feross Aboukhadijeh
Feross is the author and maintainer of WebTorrent, StandardJS, and 100s of other open source projects
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
node.jssecurity
Cargadores ESM: Mejorando la carga de módulos en Node.js
JSNation 2023JSNation 2023
22 min
Cargadores ESM: Mejorando la carga de módulos en Node.js
Top Content
Gil Tayar
Gil Tayar
Microsoft, Israel
ESM Loaders enhance module loading in Node.js by resolving URLs and reading files from the disk. Module loaders can override modules and change how they are found. Enhancing the loading phase involves loading directly from HTTP and loading TypeScript code without building it. The loader in the module URL handles URL resolution and uses fetch to fetch the source code. Loaders can be chained together to load from different sources, transform source code, and resolve URLs differently. The future of module loading enhancements is promising and simple to use.
node.js
El Estado de Node.js 2025
JSNation 2025JSNation 2025
30 min
El Estado de Node.js 2025
Top Content
Matteo Collina
Matteo Collina
Node.js TSC committee member. Pino & Fastify author.
The speaker covers a wide range of topics related to Node.js, including its resilience, popularity, and significance in the tech ecosystem. They discuss Node.js version support, organization activity, development updates, enhancements, and security updates. Node.js relies heavily on volunteers for governance and contribution. The speaker introduces an application server for Node.js enabling PHP integration. Insights are shared on Node.js downloads, infrastructure challenges, software maintenance, and the importance of update schedules for security.
node.js
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Node Congress 2022Node Congress 2022
34 min
Hacia una Biblioteca Estándar para Runtimes de JavaScript
Top Content
James Snell
James Snell
Workers team @Cloudflare
There is a need for a standard library of APIs for JavaScript runtimes, as there are currently multiple ways to perform fundamental tasks like base64 encoding. JavaScript runtimes have historically lacked a standard library, causing friction and difficulty for developers. The idea of a small core has both benefits and drawbacks, with some runtimes abusing it to limit innovation. There is a misalignment between Node and web browsers in terms of functionality and API standards. The proposal is to involve browser developers in conversations about API standardization and to create a common standard library for JavaScript runtimes.
javascriptcomponent librarynode.js
Diagnostics de Node.js listos para usar
Node Congress 2022Node Congress 2022
34 min
Diagnostics de Node.js listos para usar
Colin Ihrig
Colin Ihrig
Member of the Node.js Technical Steering Committee
This talk covers various techniques for getting diagnostics information out of Node.js, including debugging with environment variables, handling warnings and deprecations, tracing uncaught exceptions and process exit, using the v8 inspector and dev tools, and generating diagnostic reports. The speaker also mentions areas for improvement in Node.js diagnostics and provides resources for learning and contributing. Additionally, the responsibilities of the Technical Steering Committee in the TS community are discussed.
node.js
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Phil Nash
Phil Nash
Developer relations engineer at IBM
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
securityauthentication

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
security testingsecurity
Construyendo un Sistema RAG en Node.js: Bases de Datos Vectoriales, Embeddings y Chunking
Node Congress 2025Node Congress 2025
98 min
Construyendo un Sistema RAG en Node.js: Bases de Datos Vectoriales, Embeddings y Chunking
Featured Workshop
Alex Korzhikov
Pavlik Kiselev
2 authors
Los Modelos de Lenguaje Grande (LLMs) son poderosos, pero a menudo carecen de conocimiento en tiempo real. La Generación Aumentada por Recuperación (RAG) cierra esta brecha al obtener información relevante de fuentes externas antes de generar respuestas. En esta masterclass, exploraremos cómo construir un pipeline RAG eficiente en Node.js utilizando feeds RSS como fuente de datos. Compararemos diferentes bases de datos vectoriales (FAISS, pgvector, Elasticsearch), métodos de embedding y estrategias de prueba. También cubriremos el papel crucial del chunking: dividir y estructurar datos de manera efectiva para un mejor rendimiento de recuperación.Requisitos Previos- Buen entendimiento de JavaScript o TypeScript- Experiencia con Node.js y desarrollo de API- Conocimientos básicos de bases de datos y LLMs son útiles pero no requeridos
Agenda📢 Introducción a RAG💻 Demo - Aplicación de Ejemplo (RAG con Feeds RSS)📕 Bases de Datos Vectoriales (FAISS, pgvector, Elasticsearch) y Embeddings🛠️ Estrategias de Chunking para Mejor Recuperación🔬 Pruebas y Evaluación de Pipelines RAG (Precisión, Recall, Rendimiento)🏊‍♀️ Consideraciones de Rendimiento y Optimización🥟 Resumen y Preguntas y Respuestas
node.jsdatabase
Construir un MCP (Model Context Protocol) en Node.js
JSNation US 2025JSNation US 2025
97 min
Construir un MCP (Model Context Protocol) en Node.js
Featured Workshop
Julián Duque
Julián Duque
Model Context Protocol (MCP) introduce un enfoque estructurado para la gestión de contexto de LLM que aborda las limitaciones en los métodos de prompting tradicionales. En esta masterclass, aprenderás sobre el Model Context Protocol, su arquitectura y cómo construir y usar un MCP con Node.jsTabla de Contenidos:¿Qué es el Model Context Protocol?Tipos de MCPs (Stdio, SSE, HTTP Streaming)Comprendiendo Herramientas, Recursos y PromptsConstruyendo un MCP con el SDK Oficial de TypeScript en Node.jsDesplegando el MCP en la Nube (Heroku)Integrando el MCP con Tu Herramienta de IA Favorita (Claude Desktop, Cursor, Windsurf, VS Code Copilot)Consideraciones de Seguridad y Mejores Prácticas
node.js
Masterclass de Node.js
Node Congress 2023Node Congress 2023
109 min
Masterclass de Node.js
Top Content
Workshop
Matteo Collina
Matteo Collina
¿Alguna vez has tenido dificultades para diseñar y estructurar tus aplicaciones Node.js? Construir aplicaciones que estén bien organizadas, sean probables y extensibles no siempre es fácil. A menudo puede resultar ser mucho más complicado de lo que esperas. En este evento en vivo, Matteo te mostrará cómo construye aplicaciones Node.js desde cero. Aprenderás cómo aborda el diseño de aplicaciones y las filosofías que aplica para crear aplicaciones modulares, mantenibles y efectivas.

Nivel: intermedio
node.js
Construir y Desplegar un Backend Con Fastify & Platformatic
JSNation 2023JSNation 2023
104 min
Construir y Desplegar un Backend Con Fastify & Platformatic
Top Content
WorkshopFree
Matteo Collina
Matteo Collina
Platformatic te permite desarrollar rápidamente GraphQL y REST APIs con un esfuerzo mínimo. La mejor parte es que también te permite desatar todo el potencial de Node.js y Fastify siempre que lo necesites. Puedes personalizar completamente una aplicación de Platformatic escribiendo tus propias características y plugins adicionales. En la masterclass, cubriremos tanto nuestros módulos de Open Source como nuestra oferta en la Nube:- Platformatic OSS (open-source software) — Herramientas y bibliotecas para construir rápidamente aplicaciones robustas con Node.js (https://oss.platformatic.dev/).- Platformatic Cloud (actualmente en beta) — Nuestra plataforma de alojamiento que incluye características como aplicaciones de vista previa, métricas integradas e integración con tu flujo de Git (https://platformatic.dev/). 
En esta masterclass aprenderás cómo desarrollar APIs con Fastify y desplegarlas en la Platformatic Cloud.
node.jscloudgraphqlfastify
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
reactweb developmentsecurityauthentication