Main Branch

Fundamentals first, always

Edición #9

🥷🏽 Main Branch: Donde la Seguridad es Gratis

Por Andrea Griffiths Read in English
Escuchar artículo

Hola amigos,

GitHub lanzó cinco nuevos ecosistemas de Dependabot en una sola semana. Y la mayoría de los repos públicos aún no tienen CodeQL habilitado. Arreglemos ambos.

🚢 Lo que se lanzó

La Gran Semana de Dependabot

GitHub agregó soporte de actualizaciones de versiones para Bazel, Julia, OpenTofu y Conda.

Si usas alguno de estos, Dependabot ahora te cuida las espaldas.

Actívalo ahora:

  1. Ve a tu repo → Settings → Security → Advanced Security
  2. Click en “Enable” junto a Dependabot alerts
  3. Click en “Enable” junto a Dependabot security updates
  4. Para actualizaciones de versiones, agrega un archivo de configuración .github/dependabot.yml a tu repo:
version: 2
updates:
  - package-ecosystem: "uv" # o npm, docker, etc.
    directory: "/"
    schedule:
      interval: "weekly" # o "daily", "monthly", etc.

Listo. Dependabot abrirá PRs cuando haya actualizaciones disponibles.

CodeQL: El Scanner de Seguridad que No Estás Usando

CodeQL es gratis para cada repositorio público. Lo ha sido por años. Detecta inyección SQL, XSS, credenciales hardcodeadas y docenas de otras vulnerabilidades antes de que lleguen a producción.

La mayoría de los repos no lo tienen habilitado. Eso es una locura.

Actívalo ahora:

  1. Ve a tu repo → Settings → Security → Advanced Security
  2. Busca “Code scanning” → Click en “Set up” → “Default”
  3. Eso es todo. Tres clics.

GitHub auto-detecta tus lenguajes y ejecuta CodeQL en cada push y PR. No se necesita archivo de configuración. Los resultados aparecen en la pestaña Security y como anotaciones en PRs.

Para repos privados, necesitarás GitHub Advanced Security. Pero si tu código es público? Esto es gratis. Ve y actívalo.

📺 Lo que estoy viendo

Sam Struan sobre CVs compatibles con ATS - ATS (Applicant Tracking Systems) es el software que las empresas usan para recolectar y organizar solicitudes de empleo. Hay toda una industria vendiendo servicios de “cumplimiento ATS”, pero Sam lo explica en dos minutos: es mayormente una estafa. La prueba real es simple. Selecciona todo el texto en tu PDF. Si tu información de contacto no se puede resaltar, podría no parsearse correctamente. Eso es todo. Sin magia.

Vale tu tiempo si: estás buscando trabajo o ayudando a alguien que lo está.

✨ Esta semana

Fue una semana productiva. Cerré la semana con Open Source Friday junto a Cassidy, Christina y Kedasha. No solemos poder charlar juntas en stream, así que fue un gusto. (Sí, los lentes de sol eran necesarios.) Para cuando leas esto, estaré camino a Seattle para el offsite de mi equipo. Si eres local y quieres saludar, mándame un DM.

Eso es todo. Dos funcionalidades. Tres clics cada una. Ve a asegurar tus repos.

Con gratitud, nos vemos la próxima semana,

Andrea

Developer 1
Developer 2
Developer 3
Developer 4
Developer 5

Join devs who actually care about the craft.

Real ones who read every issue 🤝

Newsletter

Subscribe to Main Branch

Join developers shipping real features. Every issue is a three-minute read packed with fundamentals you can apply today.

Subscribe on Beehiiv

No spam, unsubscribe at any time.