Main Branch

Fundamentals first, always

Edición #18

🔄 Main Branch: La de Cuando Tus Hooks Se Actualizan Solos

Por Andrea Griffiths Read in English
dependabot pre-commit oidc github-actions
Escuchar artículo

Hola mi gente linda,

Marzo va volando. Dos cosas sólidas salieron esta semana. Ninguna tiene que ver con IA. Las dos te van a ahorrar dolores de cabeza.

Ya confías en Dependabot para mantener tus paquetes npm y versiones de Actions al día. ¿Pero tus pre-commit hooks? Ahí estabas solo. Hasta ahora.

🚢 Qué salió

Dependabot ahora soporta pre-commit hooks (GA)

Si usas pre-commit, ya conoces el patrón. Alguien corre pre-commit autoupdate una vez. Nadie lo vuelve a hacer. Seis meses después el hook del linter está antiquísimo y el equipo normalizó el dolor.

Dependabot ahora soporta actualizaciones de pre-commit hooks como ecosistema de primera clase. Eso significa que puede vigilar tu .pre-commit-config.yaml, detectar cuándo tus rev pins están atrasados, y abrir PRs automáticamente.

Agrega esto a tu dependabot.yml:

version: 2
updates:
  - package-ecosystem: "pre-commit"
    directory: "/"
    schedule:
      interval: "weekly"

Lo que me gusta de la implementación:

  • Mantiene el formato de tu YAML intacto.
  • Los PRs incluyen release notes, así que puedes revisar qué cambió de verdad.
  • Soporta actualizaciones agrupadas, que importa cuando tu lista de hooks es larga.
  • Los hooks local y meta se saltan automáticamente.
  • Funciona incluso cuando los hooks están hospedados fuera de GitHub.

Resultado neto: tu repo deja de depender de la memoria de alguien para mantenerse al día. Lee más en el changelog.

Los tokens OIDC de GitHub Actions pueden incluir custom properties del repositorio (Public Preview)

OIDC para GitHub Actions ya es la forma más limpia de autenticar workflows en proveedores de nube sin secretos de larga duración. La parte difícil siempre es el sprawl de políticas.

GitHub está lanzando un public preview que te permite incluir custom properties del repositorio como claims en los tokens OIDC de Actions. La forma de la plataforma es lo interesante:

  • Un admin de la org define qué se emite.
  • Los repos configuran los valores de las propiedades.
  • Los tokens llevan esos atributos.
  • Las políticas de confianza del cloud filtran por esos atributos.

Si estás implementando esto, empieza por la documentación oficial de OIDC y los endpoints REST de personalización de OIDC.

📖 Qué estoy leyendo

Die with Zero de Bill Perkins. La elección del club de lectura de OctoVets este mes. Perkins argumenta que la mayoría de ahorradores disciplinados — especialmente los ingenieros — pasan sus años más saludables acumulando plata que nunca usan del todo. Su idea central: un dólar gastado en una experiencia a los 30 genera décadas de recuerdos. El mismo dólar a los 75? Casi ni se siente. Él lo llama el “dividendo de memoria.” Me siento dividida con este. Estoy trabajando duro para darle experiencias a mis hijos y pagar las cuentas. El framework es útil, pero Perkins escribe desde la posición de ya tener millones, lo que definitivamente colorea su consejo de “solo gástatelo.”

Vale tu tiempo si: eres del tipo que necesita permiso para disfrutar la plata que se ha ganado mientras aún estás lo suficientemente joven para disfrutarla.

🔧 Qué estoy usando

TRMNL: una pantallita e-ink que cicla entre feeds en blanco y negro. Gráfica de commits de GitHub, clima, dashboards personalizados. Sin notificaciones, sin color, sin trucos de dopamina. Solo datos tranquilos en tu escritorio. La tengo en mi escritorio hace un par de días y ya entiendo el hype.

✨ Esta semana

Parpadeé y ya es primavera. Ya mapeé mis viajes de trabajo del año e hice un esfuerzo consciente por no sobrecomprometerme. ¿Conoces ese meme de esperar a que las cosas se calmen? Nunca lo hacen. Así que estoy tratando de estar más presente, más consciente, y no dejar que el año se me adelante. Si estás sintiendo lo mismo — tal vez esta es tu señal para mirar tu calendario y proteger algo de espacio vacío.

Eso es todo, tus hooks merecen la misma atención que tus paquetes.

Con gratitud, nos vemos la próxima semana,

Andrea

📌 P.S. El CTO de GitHub, Vlad Fedorov, escribió sobre por qué la disponibilidad ha estado complicada últimamente y qué está haciendo el equipo para arreglarlo. Sin rodeos, solo el plan. Vale la pena leerlo.

🇺🇸 Read the newsletter in English.