Todo sobre las dependencias

Rate this content
Bookmark

El beneficio de las dependencias de software es que permiten a los desarrolladores entregar software más rápido, basándose en código previo. Las dependencias son una parte integral del ciclo de desarrollo de software y se utilizan en diferentes etapas, como desarrollo, ejecución o pruebas. Sin embargo, las dependencias no solo pueden introducir riesgos que a menudo se pasan por alto, sino que también se debe tener en cuenta su resolución rápida y el cumplimiento de los tipos de licencia. En esta sesión extremadamente rápida, veremos algunas de las ventajas de usar un administrador de artefactos maduro y robusto para npm, bower y otros administradores de paquetes.

8 min
24 Mar, 2022

Comments

Sign in or register to post your comment.

Video Summary and Transcription

La presentación de hoy analiza el papel de las dependencias en el desarrollo de software, incluidos los diferentes tipos de dependencias y su impacto en el desarrollo y mantenimiento. La charla también destaca incidentes relacionados con las dependencias de software, como disputas de nombres y credenciales comprometidas, que han llevado a fallas del sistema y violaciones de seguridad. Se están realizando esfuerzos para abordar estos problemas con herramientas como X-Ray y tarjetas de puntuación que proporcionan análisis y conocimientos para mejorar.

Available in English

1. Introducción a las Dependencias de Software

Short description:

La presentación de hoy trata sobre las dependencias en el desarrollo de software. Las dependencias son una parte integral del ciclo de desarrollo, utilizadas en diferentes etapas. Hay diferentes tipos de dependencias, como bibliotecas de frameworks, módulos de paquetes y recursos. Comprender el grado de necesidad de cada dependencia ayuda a definir los cánones de actualización, el costo de migración y los esfuerzos de limpieza. Sin embargo, agregar una dependencia externaliza el trabajo de desarrollo y mantenimiento a otros, exponiendo nuestros programas a posibles fallas y defectos.

Muchas gracias por estar aquí. Mi nombre es Xuxa Ruiz. Soy de México y vivo en Suiza. Soy un Java Champion. Trabajo para una empresa, Jfrog.

La presentación de hoy trata sobre una parte clave de nuestro proceso de desarrollo de software, las dependencias. No necesitamos reinventar la rueda cada vez que queremos lograr un nuevo nivel de funcionalidad o entregar software más rápido. Queremos y reutilizamos software escrito por otros todos los días, dependencias de software. Y son una parte integral del ciclo de desarrollo de software. Se utilizarán en diferentes etapas, desarrollo, runtime o ejecución y testing. Pero no todas son iguales.

Así que les voy a presentar dos afirmaciones y ustedes me dirán si son verdaderas o falsas. Las dependencias son colecciones que contienen código probado de alta calidad que proporciona funcionalidad que requiere una experiencia significativa para desarrollar. Verdadero. Los gestores de dependencias como NPM han hecho posible que la funcionalidad casi trivial se pueda empaquetar y publicar. Verdadero. Estos son los dos extremos del espectro en términos de cómo se proporciona la funcionalidad mediante dependencias.

Sabemos que hay diferentes tipos de dependencias. Para esta charla súper rápida, solo las mencionaré. Bibliotecas de frameworks, modules de paquetes y recursos. Y tenemos un ejemplo muy claro en Angular, que es una plataforma, y React, que es una biblioteca. Por lo tanto, ya te están indicando el nivel de integración entre diferentes componentes funcionales y cuán unidos están. Y por otro lado, esta es una lista de micro-paquetes de NPM que son muy útiles.

Hemos discutido que hay diferentes tipos de dependencias, por lo que con esto también podemos comenzar a pensar en nuestro grado de necesidad, o nivel de dependencia. Podemos crear un mapa de cuáles de nuestras dependencias son cruciales, importantes, cosméticas, fácilmente cambiables o superfluas. Y todo esto nos ayudará a definir los cánones de actualización, el costo de migración o los esfuerzos de limpieza. Y esto es realmente importante durante el proceso de desarrollo y en circunstancias normales, cuando las dependencias están bien. Pero las cosas salen mal y generalmente salen mal. Por lo tanto, agregar una dependencia externaliza el trabajo de desarrollar ese código, diseñar, escribir, testing, depurar, y mantener a otra persona, a menudo a un programador desconocido. Y al usar ese código específico, nuestros programas quedan expuestos a todas las fallas y defectos que existan en nuestra dependencia.

2. Incidentes de Dependencias de Software

Short description:

En el mundo de las dependencias de software, ha habido varios incidentes que resaltan los riesgos potenciales. Ejemplos incluyen disputas por nombres, credenciales comprometidas, lanzamientos maliciosos y paquetes que contienen cargas encriptadas. Estos incidentes han causado fallas en el sistema, compromiso de seguridad y aplicaciones interrumpidas. Sin embargo, se están realizando esfuerzos para abordar estos problemas, con herramientas como X-Ray y scorecards que brindan análisis y conocimientos para mejorar.

Por ejemplo, en NPM, en marzo de 2016, hubo una disputa por el nombre. Fue eliminado tres horas después. El Registro de NPM lo publicó nuevamente e incluso cambió sus políticas. En febrero de 2018, hubo un problema con las versiones de NPM 5.7.0. Y en Linux, cuando ejecutas el comando sudo npm, cambió la propiedad del archivo del sistema. Así que rompieron la máquina. En julio de 2018, las credenciales de NPM de un mantenedor de Estlin-Scope fueron comprometidas. Por lo tanto, hubo un lanzamiento malicioso de Estlin-Scope en la versión 3.7.2. Y eso copió las credenciales de NPM de la máquina en la que se estaban ejecutando y las subió. En noviembre de 2018, se descubrió que se había agregado un paquete malicioso como dependencia a la versión 3.3.6 de EventStream. Este era un paquete plano de montaje de cadenas y contenía cargas encriptadas que robaban bitcoins de ciertas aplicaciones. En abril de 2020, un paquete pequeño llamado spromise hizo que muchas aplicaciones serverless se cayeran. En enero de 2022, creo que todos ustedes saben que el mantenedor de colors hizo cambios que imprimían texto basura en un bucle infinito. Y eso fue un problema. Más recientemente, compañías como la mía, jfrog, actualmente están actualizando y enviando información sobre paquetes maliciosos de npm que han aparecido. Así que esos son algunos de los más recientes. Pero con todos estos problemas, no desesperen, hay herramientas, por ejemplo, X-Ray, que es una herramienta de seguridad de aplicaciones adjunta a Artifactory que realiza análisis completamente automatizados en nuestros binarios y admite todos los tipos principales y profundiza realmente en los paquetes de dependencias que contienen imágenes, archivos zip, etc. Esta puntuación es más para los autores de código abierto, para que puedan ejecutar este proyecto y evaluará una serie de heurísticas importantes y le dirá cuáles son las áreas en las que debe mejorar en su proyecto de código abierto y los identificadores de riesgo, etc. Así que es realmente bueno para los mantenedores hacer mejoras. Aquí puedes descargarlo. Hay otro artículo realmente interesante de Russ Koss sobre cómo sobrevivir a las dependencias de software donde habla sobre diferentes tipos de preguntas sobre cómo tratamos las dependencias y cuáles son las características clave que debemos tener en cuenta al decidir si usar una dependencia específica o no. Pero realmente, hay una herramienta en el centro de toda esta discusión que es súper importante el gestor universal de Artifactory e incluso antes de unirme a JFrog, lo usaba y me encantaba, así que JFrog te brindará las capacidades de publicar en los diferentes repositorios, como vimos, tiene x-rays para escanear activamente todos tus binarios, escaneando profundamente todos tus binarios, obteniendo información de las nuevas advertencias y te ayuda en la gestión de roles, puedes tener tantos repositorios como desees, por lo que es muy fácil separar las preocupaciones, si quieres saber más sobre este tema, incluso con ejemplos en Artifactory y X-Ray, deberías consultar la masterclass, que ya ocurrió, lo siento, pero está grabada, así que ve a la página web y mírala, muchas gracias, estoy muy contento de que estuvieras aquí conmigo, espero verte pronto, adiós.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

React Advanced Conference 2021React Advanced Conference 2021
19 min
Automating All the Code & Testing Things with GitHub Actions
Top Content
Code tasks like linting and testing are critical pieces of a developer’s workflow that help keep us sane like preventing syntax or style issues and hardening our core business logic. We’ll talk about how we can use GitHub Actions to automate these tasks and help keep our projects running smoothly.
DevOps.js Conf 2022DevOps.js Conf 2022
33 min
Fine-tuning DevOps for People over Perfection
Demand for DevOps has increased in recent years as more organizations adopt cloud native technologies. Complexity has also increased and a "zero to hero" mentality leaves many people chasing perfection and FOMO. This session focusses instead on why maybe we shouldn't adopt a technology practice and how sometimes teams can achieve the same results prioritizing people over ops automation & controls. Let's look at amounts of and fine-tuning everything as code, pull requests, DevSecOps, Monitoring and more to prioritize developer well-being over optimization perfection. It can be a valid decision to deploy less and sleep better. And finally we'll examine how manual practice and discipline can be the key to superb products and experiences.
DevOps.js Conf 2022DevOps.js Conf 2022
27 min
Why is CI so Damn Slow?
We've all asked ourselves this while waiting an eternity for our CI job to finish. Slow CI not only wrecks developer productivity breaking our focus, it costs money in cloud computing fees, and wastes enormous amounts of electricity. Let’s take a dive into why this is the case and how we can solve it with better, faster tools.
DevOps.js Conf 2022DevOps.js Conf 2022
31 min
The Zen of Yarn
In the past years Yarn took a spot as one of the most common tools used to develop JavaScript projects, in no small part thanks to an opinionated set of guiding principles. But what are they? How do they apply to Yarn in practice? And just as important: how do they benefit you and your projects?
In this talk we won't dive into benchmarks or feature sets: instead, you'll learn how we approach Yarn’s development, how we explore new paths, how we keep our codebase healthy, and generally why we think Yarn will remain firmly set in our ecosystem for the years to come.
DevOps.js Conf 2024DevOps.js Conf 2024
25 min
Atomic Deployment for JS Hipsters
Deploying an app is all but an easy process. You will encounter a lot of glitches and pain points to solve to have it working properly. The worst is: that now that you can deploy your app in production, how can't you also deploy all branches in the project to get access to live previews? And be able to do a fast-revert on-demand?Fortunately, the classic DevOps toolkit has all you need to achieve it without compromising your mental health. By expertly mixing Git, Unix tools, and API calls, and orchestrating all of them with JavaScript, you'll master the secret of safe atomic deployments.No more need to rely on commercial services: become the perfect tool master and netlifize your app right at home!

Workshops on related topic

DevOps.js Conf 2022DevOps.js Conf 2022
152 min
MERN Stack Application Deployment in Kubernetes
Workshop
Deploying and managing JavaScript applications in Kubernetes can get tricky. Especially when a database also has to be part of the deployment. MongoDB Atlas has made developers' lives much easier, however, how do you take a SaaS product and integrate it with your existing Kubernetes cluster? This is where the MongoDB Atlas Operator comes into play. In this workshop, the attendees will learn about how to create a MERN (MongoDB, Express, React, Node.js) application locally, and how to deploy everything into a Kubernetes cluster with the Atlas Operator.
React Summit 2023React Summit 2023
88 min
Deploying React Native Apps in the Cloud
WorkshopFree
Deploying React Native apps manually on a local machine can be complex. The differences between Android and iOS require developers to use specific tools and processes for each platform, including hardware requirements for iOS. Manual deployments also make it difficult to manage signing credentials, environment configurations, track releases, and to collaborate as a team.
Appflow is the cloud mobile DevOps platform built by Ionic. Using a service like Appflow to build React Native apps not only provides access to powerful computing resources, it can simplify the deployment process by providing a centralized environment for managing and distributing your app to multiple platforms. This can save time and resources, enable collaboration, as well as improve the overall reliability and scalability of an app.
In this workshop, you’ll deploy a React Native application for delivery to Android and iOS test devices using Appflow. You’ll also learn the steps for publishing to Google Play and Apple App Stores. No previous experience with deploying native applications is required, and you’ll come away with a deeper understanding of the mobile deployment process and best practices for how to use a cloud mobile DevOps platform to ship quickly at scale.
DevOps.js Conf 2022DevOps.js Conf 2022
13 min
Azure Static Web Apps (SWA) with Azure DevOps
WorkshopFree
Azure Static Web Apps were launched earlier in 2021, and out of the box, they could integrate your existing repository and deploy your Static Web App from Azure DevOps. This workshop demonstrates how to publish an Azure Static Web App with Azure DevOps.
DevOps.js Conf 2022DevOps.js Conf 2022
163 min
How to develop, build, and deploy Node.js microservices with Pulumi and Azure DevOps
Workshop
The workshop gives a practical perspective of key principles needed to develop, build, and maintain a set of microservices in the Node.js stack. It covers specifics of creating isolated TypeScript services using the monorepo approach with lerna and yarn workspaces. The workshop includes an overview and a live exercise to create cloud environment with Pulumi framework and Azure services. The sessions fits the best developers who want to learn and practice build and deploy techniques using Azure stack and Pulumi for Node.js.