🔐 Main Branch: En el que Actions se blindó

Hola amigos, bienvenidos de nuevo. Un cambio de seguridad viene en camino, otro acaba de lanzarse - ambos realmente importan para tus workflows.

🚢 Qué se lanzó

Los tokens OIDC de GitHub Actions ahora son más precisos

Ahora puedes incluir check_run_id en los claims de tu token OIDC. Suena pequeño, pero es muy importante para el cumplimiento. En lugar de solo saber qué workflow se ejecutó, ahora sabes qué job específico y compute ejecutó la solicitud. Si tu workflow llama a un servicio interno en Azure o AWS, puedes rastrear ese token hasta el job exacto que hizo la llamada. El control de acceso de mínimo privilegio se vuelve real cuando puedes vincular cada token a un job específico, no solo a un repo. Esto importa si estás auditando quién accedió a qué y cuándo.

El evento pull_request_target se está bloqueando (8 de diciembre)

Una hito de seguridad: los workflows de pull_request_target ahora siempre usarán tu rama main por defecto como fuente, no cualquier rama que alguien usó como base del PR. Esto previene que workflows viejos y vulnerables en ramas obsoletas se ejecuten cuando alguien abre un PR. Hoy, si arreglas una vulnerabilidad en tu workflow en main pero todavía existe en una rama de feature, un PR desde esa rama podría activar la versión rota. El 8 de diciembre, esa puerta espeluznante se cierra.

🎧 Qué estoy escuchando

Darknet Diaries - EP 42: Mini-Stories Vol 2

Clay encuentra una puerta trasera en su servidor y entra en modo detective completo. Descifra la contraseña del atacante con John the Ripper, rastrea cada comando que ejecutaron, luego los bloquea paso a paso en lugar de simplemente destruir todo. El trabajo forense es hermoso - puedes sentir su subida de adrenalina. Escúchalo en Darknet Diaries.

🔧 Qué estoy usando

TypeScript es ahora el lenguaje #1 por cantidad de contribuidores. Si todavía estás debatiendo si tipar tus nuevos proyectos, esto lo resuelve (quizás). Revisa el reporte completo de Octoverse.

Usé TypeScript para mi proyecto git-history-cleaner. Una herramienta fácil de usar para generar scripts personalizables para limpiar el historial de repositorios git mientras preservas tus archivos actuales. Si tienes repos que necesitan una limpieza de historial de commits, pruébalo y déjame saber qué piensas.

✨ Esta semana

Esta semana he estado abrumada de gratitud…en serio. Amigos viejos y nuevos han estado compartiendo el newsletter y los comentarios han sido genuinamente constructivos y bellos. Hacer crecer esto en algo de lo que todos estemos orgullosos se siente real ahora. También logré ir a hot yoga dos veces. Me siento como una mujer nueva (una mujer adolorida, pero nueva 😀).

Eso es todo. Fundamentos que realmente importan para tus workflows.

Reenvía esto a tu equipo si fue útil. Responde y dime qué realmente quieres leer si no lo fue.

Con gratitud, nos vemos la próxima semana,

Andrea

P.D. – Fundamentos primero. Siempre.