El CPU trimestral de Oracle es el más grande del año; GitHub actualiza Copilot con el modelo de Anthropic; y WordPress 7.0 extiende su ciclo para implementar bases de datos colaborativas en tiempo real.
El Critical Patch Update del 21 de abril es el más grande del año para Oracle y cubre desde la versión 19.3 hasta la 23.26.1 de su base de datos principal.
Oracle publicó el 21 de abril su Critical Patch Update trimestral, que atiende 483 vulnerabilidades de seguridad nuevas distribuidas en toda su línea de productos. Los parches más urgentes afectan a Oracle Database Products (8 parches), Oracle NoSQL Database (1 parche) y Oracle REST Data Services (2 parches). Las versiones cubiertas van de Database 19.3-19.30 a 21.3-21.21 y 23.4.0-23.26.1, según el advisory oficial de Oracle. El CPU trimestral de Oracle es el mecanismo oficial de distribución de parches de seguridad para su ecosistema; la empresa no emite parches fuera de este ciclo excepto en casos de explotación activa confirmada. Los administradores de bases de datos Oracle que no apliquen el CPU de abril antes del siguiente trimestre —julio de 2026— quedan expuestos durante cuatro meses a las vulnerabilidades publicadas hoy. Para equipos de desarrollo costarricenses en empresas que usan Oracle Database o Fusion Middleware —habitual en instituciones financieras y bancos—, el advisory de este trimestre tiene lectura obligada. El detalle completo de CVEs afectados está en la página oficial de alertas de seguridad de Oracle, donde se puede filtrar por producto y versión.
GitHub Copilot incorporó esta semana Claude Opus 4.7 de Anthropic como uno de los modelos disponibles en la herramienta, con énfasis en razonamiento multipasos mejorado, mayor confiabilidad en ejecución agentic y mejor rendimiento en flujos de trabajo complejos que dependen de múltiples herramientas en secuencia, según las notas de actualización de la plataforma. La integración posiciona a GitHub Copilot como una herramienta multimodelo: los desarrolladores pueden seleccionar entre los modelos de OpenAI, Google y ahora Anthropic dependiendo del tipo de tarea. Para trabajos de refactorización de código complejo o generación de pruebas unitarias en codebases grandes, Claude Opus 4.7 compite directamente con GPT-4o y Gemini 2.5 Pro dentro del mismo entorno. Para desarrolladores costarricenses que usan GitHub Copilot —la herramienta de asistencia de código más extendida en la industria a nivel global—, el acceso a Claude Opus 4.7 no requiere configuración adicional ni cambio de plan. La disponibilidad del modelo depende del plan de Copilot activo; GitHub no confirmó si todos los planes tienen acceso completo a Claude Opus 4.7 desde el primer día.
El Catálogo de Vulnerabilidades Conocidas Explotadas de la CISA suma ocho nuevas entradas, una de ellas en el producto de conectividad de redes empresariales más extendido de Cisco.
La Agencia de Ciberseguridad de EE.UU. (CISA) actualizó el 20 de abril su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) con ocho nuevas entradas. La más urgente: CVE-2026-20133, que afecta a Cisco Catalyst SD-WAN Manager, un producto de gestión de redes ampliamente utilizado en infraestructura corporativa y de telecomunicaciones. Las agencias federales de EE.UU. tienen plazo hasta principios de mayo para aplicar correcciones; el mismo plazo sirve como referencia de urgencia para el sector privado. Las ocho vulnerabilidades en el catálogo KEV tienen una característica que las distingue de las publicaciones generales de CVE: han sido observadas en explotación activa en sistemas reales, no solo teorizadas. El catálogo KEV es el insumo más directo para priorizar parches en entornos de producción donde no todos los CVEs pueden atenderse simultáneamente. Para equipos de seguridad en empresas costarricenses con Cisco SD-WAN o cualquiera de los otros productos listados, la inclusión en KEV convierte la corrección en prioridad inmediata. Los detalles de las ocho entradas están disponibles en el sitio oficial de CISA.
cat /feed/gitlabintegracin.md
> GitLab anunció que su plataforma Duo Agent —el conjunto de agentes de IA integrados en el flujo de CI/CD y revisión de código— está ahora disponible a través de Google Cloud Vertex AI, lo que permite a clientes de Google Cloud acceder a los agentes de GitLab directamente desde la consola de Vertex sin necesidad de configurar la integración de forma manual.
> La integración habilita casos de uso donde los modelos Gemini de Google, disponibles en Vertex, pueden combinarse con el agente de revisión de código de GitLab, el agente de generación de pipelines y el asistente de documentación. El cliente de Vertex AI ya tiene los controles de seguridad y cumplimiento de Google Cloud; la integración los extiende al ecosistema de GitLab sin duplicar configuraciones.
> Para equipos en Costa Rica que usan GitLab Enterprise en infraestructura de Google Cloud —habitual en empresas de Zona Franca con acuerdos GCP—, la integración reduce la fricción de adopción de agentes de IA en el ciclo de desarrollo. El acceso está disponible hoy para cuentas activas de GitLab Enterprise y Google Cloud.
El equipo de desarrollo de WordPress publicó el 22 de abril un nuevo cronograma para el ciclo de la versión 7.0, extendido para implementar correctamente la arquitectura de base de datos de Colaboración en Tiempo Real (RTC). El RTC permite que múltiples usuarios editen el mismo contenido simultáneamente —similar a Google Docs— y requiere una capa de sincronización de estado que afecta la forma en que WordPress almacena borradores y revisiones en la base de datos. El cambio en el ciclo es significativo: WordPress 7.0 es la versión más esperada desde que Gutenberg reemplazó el editor clásico en 2018. El equipo optó por la calidad sobre el calendario, lo que desarrolladores experimentados de WordPress consideran la decisión correcta dado el impacto de una arquitectura de base de datos mal implementada en millones de sitios. Una limitación temporal: los meta boxes clásicos —el mecanismo de extensibilidad más antiguo de WordPress— desactivarán el modo de colaboración en los posts que los usen, lo que afecta a plugins heredados. Costa Rica tiene una comunidad de WordPress activa, con múltiples agencias que lo usan como base de sitios de clientes. La extensión del ciclo de 7.0 da tiempo adicional para probar los plugins más populares del mercado local contra la nueva arquitectura.
— El equipo de WordPress publicó un cronograma revisado que prioriza la infraestructura de base de datos necesaria para la edición colaborativa simultánea, una característica que el CMS más usado del mundo no ha tenido históricamente.
Microsoft anunció la disponibilidad general de los conectores basados en queries de Azure Databricks, que permiten ingestar datos directamente desde bases de datos relacionales —Oracle, Teradata, SQL Server, MySQL, MariaDB y PostgreSQL— sin necesidad de configurar procesos ETL intermedios. El conector funciona con lenguaje SQL estándar y sincroniza los datos de forma incremental. Simultáneamente, Microsoft anunció la disponibilidad general del Sample Data Explorer con Genie Code, que permite consultas en lenguaje natural directamente sobre bases de datos conectadas a Databricks. Genie Code traduce la pregunta en SQL, ejecuta la query y presenta el resultado con explicación del razonamiento aplicado. Para equipos de ingeniería de datos en Costa Rica que trabajan con Azure Databricks —presente en varias empresas de servicios financieros y tecnología—, la disponibilidad general de los conectores relacionales es el punto de inflexión: hasta ahora, la integración con bases de datos existentes requería configuración de Spark personalizada. La GA elimina ese paso y hace la adopción accesible para equipos sin expertise profundo en Databricks.
Node.js 20 LTS llega a su fin de vida el 30 de abril de 2026 —en ocho días—. Desde esa fecha, ninguna vulnerabilidad descubierta en Node.js 20 recibirá parche oficial del proyecto. La migración recomendada es a Node.js 24, la LTS actual con soporte garantizado hasta abril de 2028. El proceso de actualización entre versiones LTS consecutivas de Node.js es generalmente sin fricciones para proyectos que no usan APIs deprecadas. Sin embargo, algunas APIs removidas entre la versión 20 y la 24 pueden requerir ajustes en dependencias o en código de integración. El paso más importante: actualizar el archivo .nvmrc o el campo engines en package.json, y correr las pruebas del proyecto contra Node.js 24 antes de mover producción. El proyecto Node.js también anunció un cambio en su ciclo de versiones a partir de octubre de 2026: una sola versión mayor por año, todas convertidas en LTS, eliminando la distinción par/impar. Para proyectos costarricenses en producción con Node.js 20, el 30 de abril no es una fecha opcional. Seguir en Node.js 20 después de esa fecha es asumir explícitamente el riesgo de vulnerabilidades sin parche disponible.
El 22 de abril concentra cuatro señales de acción inmediata para equipos de desarrollo: Oracle publicó 483 parches de seguridad; GitHub Copilot integró Claude Opus 4.7 como nuevo modelo; CISA agregó ocho vulnerabilidades explotadas activamente al KEV; y Node.js 20 tiene ocho días de vida antes del fin de soporte. WordPress 7.0 extiende su ciclo por la razón correcta —infraestructura de base de datos robusta—, y GitLab lleva sus agentes de IA a Google Cloud Vertex. La semana confirma un patrón recurrente del segundo trimestre: la deuda técnica acumulada en actualizaciones de dependencias, versiones de runtime y parches de seguridad llega a su punto de presión justo antes de los congelamientos de fin de año. Para equipos costarricenses con backlog de actualizaciones, esta semana marca el momento de mover esas tareas al sprint activo.