Actualmente existe una problemática real con ataques que han afectado de forma recurrente a paquetes de NPM; sin embargo hay formas de minimizar ese impacto en nuestros proyectos aplicando políticas de seguridad en el gestor de paquetes pnpm
pnpm ofrece una opción llamada minimumReleaseAge que evita instalar versiones publicadas muy recientemente, reduciendo el riesgo de incorporar paquetes comprometidos o maliciosos que acaban de ser liberados
Cómo funciona y cómo configurarlo
1. Definición: minimumReleaseAge se expresa en minutos y establece el tiempo mínimo que debe transcurrir desde la publicación de una versión para que pnpm permita su instalación
2. Dónde configurarlo: puede definirse en el archivo pnpm-workspace.yaml o en un archivo de configuración específico de pnpm
3. Ejemplo práctico: para evitar instalar versiones publicadas en los últimos 3 días (3 x 24 x 60 = 4320 minutos) se añade en pnpm-workspace.yaml la siguiente entrada
minimumReleaseAge: 4320
4. Exclusiones: si necesitas que algunos paquetes instalen siempre su última versión sin esperar, usa minimumReleaseAgeExclude y lista los paquetes que quieres excluir
Ejemplo de exclusión: minimumReleaseAgeExclude: [package-a, package-b]
Con esta política pnpm rechazará instalaciones automáticas de versiones con menos de 3 días desde su publicación lo que ayuda a prevenir ataques de cadena de suministro donde versiones maliciosas suelen detectarse y eliminarse poco después de su publicación
Requisitos y recomendaciones
Esta funcionalidad está disponible desde pnpm versión 10.16.0 en adelante
Valores recomendados según necesidad
1440 minutos (1 día): valor equilibrado para evitar versiones recién publicadas y dar tiempo a la detección de problemas
60 a 180 minutos (1 a 3 horas): para proyectos que necesitan actualizaciones rápidas pero con un margen de seguridad
0 minutos: prioridad en disponer siempre de la última versión sin demora, mayor riesgo
Buenas prácticas
Combina minimumReleaseAge con revisiones automatizadas de dependencias, escaneos de seguridad y un proceso de despliegue controlado. Mantén listas de exclusión bien justificadas y documentadas y actualiza las políticas según la criticidad del proyecto
Sobre Q2BSTUDIO y cómo podemos ayudar
En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones integrales que incluyen software a medida, aplicaciones a medida, inteligencia artificial, ciberseguridad y servicios cloud aws y azure. Diseñamos estrategias para proteger la cadena de suministro de dependencias y aplicar controles como minimumReleaseAge dentro de flujos de trabajo seguros
Si necesitas soporte para adaptar tus proyectos y pipelines te ofrecemos servicios de desarrollo a medida y consultoría en ciberseguridad; conoce nuestras soluciones de seguridad y pentesting en ciberseguridad y pentesting y descubre cómo creamos aplicaciones robustas en desarrollo de aplicaciones y software a medida
Palabras clave: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi
Conclusión
Aplicar minimumReleaseAge en pnpm es una medida sencilla y efectiva para aumentar la seguridad y estabilidad de las instalaciones de dependencias; integrada dentro de una estrategia de seguridad más amplia, ayuda a mitigar riesgos de forma práctica y operativa. Si quieres que implementemos estas políticas en tus proyectos ponte en contacto con Q2BSTUDIO para una auditoría y plan de acción