🔐 En el que tus credenciales dejan de vivir en .env
🔐 En el que tus credenciales dejan de vivir en .env
Hola mi gente linda,
Temporada de impuestos. Mi época menos favorita del año. Esa parte donde te das cuenta de que “yo del futuro se encargará de esto” era una mentira que te dijiste cada mes durante doce meses.
Esta semana GitHub lanzó dos cosas que reducen la cantidad de cosas que tienes que manejar manualmente. Vamos con eso.
🚢 Lo que se lanzó
Copilot Autofix ahora tiene modo por lotes
Si has tenido un PR marcado con cinco alertas de escaneo de código y tuviste que arreglarlas una por una, cada una activando un escaneo completo, esto es para ti.
Las alertas de escaneo de código en PRs ahora muestran sugerencias de corrección generadas por Copilot Autofix. Anteriormente podías aplicarlas una por una, pero cada aplicación creaba un commit separado y activaba un nuevo escaneo. Ahora puedes agregar múltiples sugerencias a un lote desde la pestaña Files Changed y confirmarlas todas de una vez. Un commit, un escaneo.
En repos con CI más pesado, esa es una diferencia real de tiempo. Si tu pipeline toma 10 minutos por escaneo y tenías cuatro alertas, acabas de pasar de 40 minutos de tiempo de escaneo a 10.
Copilot Autofix está disponible en repos públicos sin una suscripción de Copilot. Para repos privados e internos, necesitas GitHub Advanced Security.
npm Trusted Publishing ahora soporta CircleCI
npm trusted publishing te permite publicar paquetes sin almacenar credenciales en ningún lado. Te autenticas a través de tu pipeline de CI usando OIDC, y npm valida el token al momento de publicar. No hay secretos que rotar, no hay tokens en variables de entorno.
Ya funcionaba con GitHub Actions y GitLab CI. Ahora también funciona con CircleCI.
Si estás publicando paquetes npm desde CircleCI hoy, puedes eliminar completamente el NPM_TOKEN almacenado. La configuración está en la configuración de tu cuenta npm o a través de npm trust circleci en el CLI. Los docs de trusted publishing tienen la configuración completa.
Las credenciales almacenadas son una de las fuentes más comunes de incidentes en la cadena de suministro. Aunque no estés en CircleCI, esto vale la pena saberlo, trusted publishing es el patrón hacia el que npm se está dirigiendo. Si no lo has configurado aún, ahora es buen momento.
🎧 Lo que estoy escuchando
Radical Candor por Kim Scott
Mi esposo compró el audiolibro y he estado escuchando como repaso. Lo leí hace años pero pega diferente ahora. Kim Scott creció en el Sur donde la cultura era nunca decir que no, mantener los pensamientos críticos para ti mismo. ¿Suena familiar?
Siempre he liderado con gratitud — “solo estoy feliz de estar aquí” es genuinamente como me siento. Pero estoy aprendiendo que en una industria competitiva, ser agradecida y abogar por ti misma no son mutuamente excluyentes. Es algo que todavía estoy descubriendo. Cómo inclinarme hacia conversaciones incómodas. Cómo darme crédito en voz alta, no solo en privado.
Vale tu tiempo si: manejas gente, o has pasado demasiado tiempo siendo agradecida por un asiento en una mesa donde verdaderamente mereces sentarte.
🔧 Lo que estoy usando
Keeper Tax — Lo estoy usando de nuevo este año para manejar mis gastos de contratación independiente. Se conecta a tus cuentas, importa tus gastos automáticamente, y encuentra deducciones que probablemente te perderías. Segundo año usándolo. Si haces trabajo freelance o por contrato, vale la pena revisarlo. No es patrocinado, solo una herramienta que uso y el enlace te da 25% de descuento.
✨ Esta semana
El análisis de Andy Warfield sobre S3 Files es uno de los mejores escritos de ingeniería que he visto en un tiempo. Ve a leerlo. Pero el tweet de Hunter Leath al respecto merece reflexión. Él escribió exactamente este PRFAQ en 2023, se fue cuando la organización no se movía, y vio a sus antiguos colegas lanzarlo tres años después. Está feliz por ellos y suena como un tipo sólido. Me tiene preguntando: ¿cuántas grandes ideas se van por la puerta porque la persona detrás de ellas se cansó de luchar por ellas?
Eso es todo, limpia tus credenciales, agrupa tus correcciones, y piensa en a quién estás manteniendo.
Con gratitud, nos vemos la próxima semana,
Andrea
P.D. He estado usando Mintlify para generar documentación para mi sistema de contexto de agentes y honestamente — me impresiona. Gratis, un clic, salida integral, realmente legible. Vale la pena revisarlo si la documentación es un punto de dolor para ti.
Subscribe to Main Branch
Join developers shipping real features. Every issue is a three-minute read packed with fundamentals you can apply today.
No spam. Unsubscribe anytime.