Log in
JavaScript Conferences
DevOps.js Conf 2022DevOps.js Conf 2022
ES

Todo sobre las dependencias

Ixchel Ruiz
Ixchel Ruiz
DA @ JFrog
Rate this content
Bookmark

El beneficio de las dependencias de software es que permiten a los desarrolladores entregar software más rápido, basándose en código previo. Las dependencias son una parte integral del ciclo de desarrollo de software y se utilizan en diferentes etapas, como desarrollo, ejecución o pruebas. Sin embargo, las dependencias no solo pueden introducir riesgos que a menudo se pasan por alto, sino que también se debe tener en cuenta su resolución rápida y el cumplimiento de los tipos de licencia. En esta sesión extremadamente rápida, veremos algunas de las ventajas de usar un administrador de artefactos maduro y robusto para npm, bower y otros administradores de paquetes.

This talk has been presented at DevOps.js Conf 2022, check out the latest edition of this JavaScript Conference.

FAQ

Xuxa Ruiz es un Java Champion originario de México y actualmente vive en Suiza. Trabaja para JFrog, una empresa dedicada a la gestión de dependencias de software.

Las dependencias son software escrito por otros que se reutiliza en el desarrollo de nuevas aplicaciones para lograr funcionalidad específica sin necesidad de desarrollarlo desde cero.

Xuxa menciona varios tipos de dependencias como bibliotecas de frameworks, módulos de paquetes y recursos, destacando ejemplos como Angular y React.

Las dependencias pueden exponer aplicaciones a fallos y defectos si contienen código vulnerable o malicioso, como se evidenció en varios incidentes con paquetes de NPM mencionados por Xuxa Ruiz.

X-Ray es una herramienta de seguridad de aplicaciones vinculada a Artifactory que realiza análisis completamente automatizados en los binarios, ayudando a identificar y gestionar vulnerabilidades en las dependencias de software.

JFrog ofrece herramientas como Artifactory, que permite publicar en diferentes repositorios, y X-Ray, que escanea y analiza binarios para identificar vulnerabilidades, facilitando una gestión eficiente de las dependencias.

devops
Ixchel Ruiz
Ixchel Ruiz
8 min
24 Mar, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
La presentación de hoy analiza el papel de las dependencias en el desarrollo de software, incluidos los diferentes tipos de dependencias y su impacto en el desarrollo y mantenimiento. La charla también destaca incidentes relacionados con las dependencias de software, como disputas de nombres y credenciales comprometidas, que han llevado a fallas del sistema y violaciones de seguridad. Se están realizando esfuerzos para abordar estos problemas con herramientas como X-Ray y tarjetas de puntuación que proporcionan análisis y conocimientos para mejorar.
Available in English: All About Dependencies

1. Introducción a las Dependencias de Software

Short description:

La presentación de hoy trata sobre las dependencias en el desarrollo de software. Las dependencias son una parte integral del ciclo de desarrollo, utilizadas en diferentes etapas. Hay diferentes tipos de dependencias, como bibliotecas de frameworks, módulos de paquetes y recursos. Comprender el grado de necesidad de cada dependencia ayuda a definir los cánones de actualización, el costo de migración y los esfuerzos de limpieza. Sin embargo, agregar una dependencia externaliza el trabajo de desarrollo y mantenimiento a otros, exponiendo nuestros programas a posibles fallas y defectos.

Muchas gracias por estar aquí. Mi nombre es Xuxa Ruiz. Soy de México y vivo en Suiza. Soy un Java Champion. Trabajo para una empresa, Jfrog.

La presentación de hoy trata sobre una parte clave de nuestro proceso de desarrollo de software, las dependencias. No necesitamos reinventar la rueda cada vez que queremos lograr un nuevo nivel de funcionalidad o entregar software más rápido. Queremos y reutilizamos software escrito por otros todos los días, dependencias de software. Y son una parte integral del ciclo de desarrollo de software. Se utilizarán en diferentes etapas, desarrollo, runtime o ejecución y testing. Pero no todas son iguales.

Así que les voy a presentar dos afirmaciones y ustedes me dirán si son verdaderas o falsas. Las dependencias son colecciones que contienen código probado de alta calidad que proporciona funcionalidad que requiere una experiencia significativa para desarrollar. Verdadero. Los gestores de dependencias como NPM han hecho posible que la funcionalidad casi trivial se pueda empaquetar y publicar. Verdadero. Estos son los dos extremos del espectro en términos de cómo se proporciona la funcionalidad mediante dependencias.

Sabemos que hay diferentes tipos de dependencias. Para esta charla súper rápida, solo las mencionaré. Bibliotecas de frameworks, modules de paquetes y recursos. Y tenemos un ejemplo muy claro en Angular, que es una plataforma, y React, que es una biblioteca. Por lo tanto, ya te están indicando el nivel de integración entre diferentes componentes funcionales y cuán unidos están. Y por otro lado, esta es una lista de micro-paquetes de NPM que son muy útiles.

Hemos discutido que hay diferentes tipos de dependencias, por lo que con esto también podemos comenzar a pensar en nuestro grado de necesidad, o nivel de dependencia. Podemos crear un mapa de cuáles de nuestras dependencias son cruciales, importantes, cosméticas, fácilmente cambiables o superfluas. Y todo esto nos ayudará a definir los cánones de actualización, el costo de migración o los esfuerzos de limpieza. Y esto es realmente importante durante el proceso de desarrollo y en circunstancias normales, cuando las dependencias están bien. Pero las cosas salen mal y generalmente salen mal. Por lo tanto, agregar una dependencia externaliza el trabajo de desarrollar ese código, diseñar, escribir, testing, depurar, y mantener a otra persona, a menudo a un programador desconocido. Y al usar ese código específico, nuestros programas quedan expuestos a todas las fallas y defectos que existan en nuestra dependencia.

2. Incidentes de Dependencias de Software

Short description:

En el mundo de las dependencias de software, ha habido varios incidentes que resaltan los riesgos potenciales. Ejemplos incluyen disputas por nombres, credenciales comprometidas, lanzamientos maliciosos y paquetes que contienen cargas encriptadas. Estos incidentes han causado fallas en el sistema, compromiso de seguridad y aplicaciones interrumpidas. Sin embargo, se están realizando esfuerzos para abordar estos problemas, con herramientas como X-Ray y scorecards que brindan análisis y conocimientos para mejorar.

Por ejemplo, en NPM, en marzo de 2016, hubo una disputa por el nombre. Fue eliminado tres horas después. El Registro de NPM lo publicó nuevamente e incluso cambió sus políticas. En febrero de 2018, hubo un problema con las versiones de NPM 5.7.0. Y en Linux, cuando ejecutas el comando sudo npm, cambió la propiedad del archivo del sistema. Así que rompieron la máquina. En julio de 2018, las credenciales de NPM de un mantenedor de Estlin-Scope fueron comprometidas. Por lo tanto, hubo un lanzamiento malicioso de Estlin-Scope en la versión 3.7.2. Y eso copió las credenciales de NPM de la máquina en la que se estaban ejecutando y las subió. En noviembre de 2018, se descubrió que se había agregado un paquete malicioso como dependencia a la versión 3.3.6 de EventStream. Este era un paquete plano de montaje de cadenas y contenía cargas encriptadas que robaban bitcoins de ciertas aplicaciones. En abril de 2020, un paquete pequeño llamado spromise hizo que muchas aplicaciones serverless se cayeran. En enero de 2022, creo que todos ustedes saben que el mantenedor de colors hizo cambios que imprimían texto basura en un bucle infinito. Y eso fue un problema. Más recientemente, compañías como la mía, jfrog, actualmente están actualizando y enviando información sobre paquetes maliciosos de npm que han aparecido. Así que esos son algunos de los más recientes. Pero con todos estos problemas, no desesperen, hay herramientas, por ejemplo, X-Ray, que es una herramienta de seguridad de aplicaciones adjunta a Artifactory que realiza análisis completamente automatizados en nuestros binarios y admite todos los tipos principales y profundiza realmente en los paquetes de dependencias que contienen imágenes, archivos zip, etc. Esta puntuación es más para los autores de código abierto, para que puedan ejecutar este proyecto y evaluará una serie de heurísticas importantes y le dirá cuáles son las áreas en las que debe mejorar en su proyecto de código abierto y los identificadores de riesgo, etc. Así que es realmente bueno para los mantenedores hacer mejoras. Aquí puedes descargarlo. Hay otro artículo realmente interesante de Russ Koss sobre cómo sobrevivir a las dependencias de software donde habla sobre diferentes tipos de preguntas sobre cómo tratamos las dependencias y cuáles son las características clave que debemos tener en cuenta al decidir si usar una dependencia específica o no. Pero realmente, hay una herramienta en el centro de toda esta discusión que es súper importante el gestor universal de Artifactory e incluso antes de unirme a JFrog, lo usaba y me encantaba, así que JFrog te brindará las capacidades de publicar en los diferentes repositorios, como vimos, tiene x-rays para escanear activamente todos tus binarios, escaneando profundamente todos tus binarios, obteniendo información de las nuevas advertencias y te ayuda en la gestión de roles, puedes tener tantos repositorios como desees, por lo que es muy fácil separar las preocupaciones, si quieres saber más sobre este tema, incluso con ejemplos en Artifactory y X-Ray, deberías consultar la masterclass, que ya ocurrió, lo siento, pero está grabada, así que ve a la página web y mírala, muchas gracias, estoy muy contento de que estuvieras aquí conmigo, espero verte pronto, adiós.

Available in other languages:

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Elevando Monorepos con los Espacios de Trabajo de npm
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Elevando Monorepos con los Espacios de Trabajo de npm
Top Content
Ruy Adorno
Ruy Adorno
Open-source maintainer, Node.js contributor, npm cli team member at GitHub
NPM workspaces help manage multiple nested packages within a single top-level package, improving since the release of NPM CLI 7.0. You can easily add dependencies to workspaces and handle duplications. Running scripts and orchestration in a monorepo is made easier with NPM workspaces. The npm pkg command is useful for setting and retrieving keys and values from package.json files. NPM workspaces offer benefits compared to Lerna and future plans include better workspace linking and adding missing features.
devopsmonoreposnpm
Automatizando Todo el Código y las Pruebas con GitHub Actions
React Advanced 2021React Advanced 2021
19 min
Automatizando Todo el Código y las Pruebas con GitHub Actions
Top Content
Colby Fayock
Colby Fayock
Helping others learn about Javascript, React, and the static web.
We will learn how to automate code and testing with GitHub Actions, including linting, formatting, testing, and deployments. Automating deployments with scripts and Git hooks can help avoid mistakes. Popular CI-CD frameworks like Jenkins offer powerful orchestration but can be challenging to work with. GitHub Actions are flexible and approachable, allowing for environment setup, testing, deployment, and custom actions. A custom AppleTools Eyes GitHub action simplifies visual testing. Other examples include automating content reminders for sharing old content and tutorials.
devopsgithub actions
Ajustando DevOps para las Personas sobre la Perfección
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Ajustando DevOps para las Personas sobre la Perfección
Top Content
Julie Ng
Julie Ng
Engineer at Microsoft
DevOps is a journey that varies for each company, and remote work makes transformation challenging. Pull requests can be frustrating and slow, but success stories like Mateo Colia's company show the benefits of deploying every day. Challenges with tools and vulnerabilities require careful consideration and prioritization. Investing in documentation and people is important for efficient workflows and team growth. Trust is more important than excessive control when deploying to production.
best practicesdevops
¿Por qué es tan lento el CI?
DevOps.js Conf 2022DevOps.js Conf 2022
27 min
¿Por qué es tan lento el CI?
Nicholas Yang
Nicholas Yang
Vercel
Slow CI has a negative impact on productivity and finances. Debugging CI workflows and tool slowness is even worse. Dependencies impact CI and waiting for NPM or YARN is frustrating. The ideal CI job involves native programs for static jobs and lightweight environments for dynamic jobs. Improving formatter performance and linting is a priority. Performance optimization and fast tools are essential for CI and developers using slower hardware.
devopsci cd
La filosofía de Yarn
DevOps.js Conf 2022DevOps.js Conf 2022
31 min
La filosofía de Yarn
Maël Nison
Maël Nison
Lead maintainer of Yarn
Let's talk about React and TypeScript, Yarn's philosophy and long-term relevance, stability and error handling in Yarn, Yarn's behavior and open source sustainability, investing in maintenance and future contributors, contributing to the JavaScript ecosystem, open-source contribution experience, maintaining naming consistency in large projects, version consistency and strictness in Yarn, and Yarn 4 experiments for performance improvement.
yarndevops
Despliegue Atómico para Hipsters de JavaScript
DevOps.js Conf 2024DevOps.js Conf 2024
25 min
Despliegue Atómico para Hipsters de JavaScript
m4dz
m4dz
DX Engineer at alwaysdata
This Talk discusses atomic deployment for JavaScript and TypeScript, focusing on automated deployment processes, Git hooks, and using hard links to copy changes. The speaker demonstrates setting up a bare repository, configuring deployment variables, and using the post-receive hook to push changes to production. They also cover environment setup, branch configuration, and the build process. The Talk concludes with tips on real use cases, webhooks, and wrapping the deployment process.
devopsautomationci cddeveloper experience

Workshops on related topic

Despliegue de aplicaciones React Native en la nube
React Summit 2023React Summit 2023
88 min
Despliegue de aplicaciones React Native en la nube
WorkshopFree
Cecelia Martinez
Cecelia Martinez
Desplegar aplicaciones React Native manualmente en una máquina local puede ser complejo. Las diferencias entre Android e iOS requieren que los desarrolladores utilicen herramientas y procesos específicos para cada plataforma, incluidos los requisitos de hardware para iOS. Los despliegues manuales también dificultan la gestión de las credenciales de firma, las configuraciones de entorno, el seguimiento de las versiones y la colaboración en equipo.
Appflow es la plataforma de DevOps móvil en la nube creada por Ionic. Utilizar un servicio como Appflow para construir aplicaciones React Native no solo proporciona acceso a potentes recursos informáticos, sino que también simplifica el proceso de despliegue al proporcionar un entorno centralizado para gestionar y distribuir tu aplicación en múltiples plataformas. Esto puede ahorrar tiempo y recursos, permitir la colaboración, así como mejorar la confiabilidad y escalabilidad general de una aplicación.
En este masterclass, desplegarás una aplicación React Native para su entrega en dispositivos de prueba Android e iOS utilizando Appflow. También aprenderás los pasos para publicar en Google Play y Apple App Stores. No se requiere experiencia previa en el despliegue de aplicaciones nativas, y obtendrás una comprensión más profunda del proceso de despliegue móvil y las mejores prácticas para utilizar una plataforma de DevOps móvil en la nube para enviar rápidamente a gran escala.
react nativeclouddevopscypress react nativereact native cicdreact native deploymentreact native xcode
Despliegue de Aplicación MERN Stack en Kubernetes
DevOps.js Conf 2022DevOps.js Conf 2022
152 min
Despliegue de Aplicación MERN Stack en Kubernetes
Workshop
Joel Lord
Joel Lord
Desplegar y gestionar aplicaciones JavaScript en Kubernetes puede volverse complicado. Especialmente cuando una base de datos también debe formar parte del despliegue. MongoDB Atlas ha facilitado mucho la vida de los desarrolladores, sin embargo, ¿cómo se integra un producto SaaS con su clúster de Kubernetes existente? Aquí es donde entra en juego el Operador de MongoDB Atlas. En este masterclass, los asistentes aprenderán cómo crear una aplicación MERN (MongoDB, Express, React, Node.js) localmente y cómo desplegar todo en un clúster de Kubernetes con el Operador de Atlas.
devopskubernetesmongodb
Azure Static Web Apps (SWA) con Azure DevOps
DevOps.js Conf 2022DevOps.js Conf 2022
13 min
Azure Static Web Apps (SWA) con Azure DevOps
WorkshopFree
Juarez Barbosa Junior
Juarez Barbosa Junior
Las Azure Static Web Apps se lanzaron a principios de 2021 y, de forma predeterminada, pueden integrar su repositorio existente y implementar su aplicación web estática desde Azure DevOps. Este masterclass demuestra cómo publicar una Azure Static Web App con Azure DevOps.
devopsazure
Cómo desarrollar, construir e implementar microservicios Node.js con Pulumi y Azure DevOps
DevOps.js Conf 2022DevOps.js Conf 2022
163 min
Cómo desarrollar, construir e implementar microservicios Node.js con Pulumi y Azure DevOps
Workshop
Alex Korzhikov
Andrew Reddikh
2 authors
El masterclass ofrece una perspectiva práctica de los principios clave necesarios para desarrollar, construir y mantener un conjunto de microservicios en el stack Node.js. Cubre los detalles específicos de la creación de servicios TypeScript aislados utilizando el enfoque de monorepo con lerna y yarn workspaces. El masterclass incluye una descripción general y un ejercicio en vivo para crear un entorno en la nube con el framework Pulumi y los servicios de Azure. Las sesiones están dirigidas a los mejores desarrolladores que deseen aprender y practicar técnicas de construcción e implementación utilizando el stack Azure y Pulumi para Node.js.
node.jsmicroservicesdevopsazure