Node.js parcha vulnerabilidades críticas; PostgreSQL 19 Beta 1 introduce grafos de consulta; GitHub Actions migra macOS-latest a macOS 26.
Microsoft publicó el 22 de junio el Release Candidate de TypeScript 7.0, la versión más significativa desde que el lenguaje alcanzó madurez de producción. El cambio central es la reescritura del compilador `tsc` en Go: abandona el runtime de Node.js para la fase de compilación y distribuye un ejecutable nativo por plataforma (Linux x64/ARM64, macOS, Windows), lo que elimina el costo de arranque de V8 y reduce el tiempo de compilación en proyectos grandes en un factor de 10× según los benchmarks internos de Microsoft. La compatibilidad de tipos es prácticamente total con TS 5.x: los tipos declarados con `declare module` y los decoradores funcionan igual. Las únicas rupturas documentadas afectan a las API del compilador expuestas en `typescript` como módulo (el objeto `ts.*` cambia en algunas rutas internas), lo que impacta a herramientas de análisis estático —ESLint con `@typescript-eslint` requiere actualización de su plugin. Para el ecosistema costarricense de desarrollo web, donde empresas como Carvajal Tecnología y startups en el GAM usan TypeScript extensivamente, la mejora es relevante en pipelines de CI/CD que superan los 100 archivos. El ángulo contrario: voces en la comunidad Go señalan que la elección del lenguaje no fue tecnológica sino política —Microsoft tiene equipos consolidados en Go desde el trabajo en el compilador de Roslyn.
— El candidato a lanzamiento oficial elimina la capa Node.js del compilador y distribuye un binario nativo; la compatibilidad con TS 5.x se preserva casi por completo.
La fundación OpenJS publicó el jueves parches de seguridad para las tres líneas de Node.js en soporte activo: 26.4.0, 24.18.0 y 22.23.1. Las versiones corrigen vulnerabilidades en el módulo `http` que permiten a un atacante remoto provocar condición de carrera al procesar cabeceras HTTP/2 con prioridad malformada, derivando en una lectura fuera de límites. El CVE asignado tiene calificación CVSS 8.1 (Alta). Las vulnerabilidades fueron descubiertas por el equipo de seguridad de Fastify durante pruebas de estrés en la nueva versión de su framework. El reporte fue gestionado bajo divulgación responsable con un período de embargo de 45 días antes de la publicación del parche. Administradores de aplicaciones en producción deben actualizar antes del próximo martes: los detalles técnicos completos se publicarán en la base de datos NVD 72 horas después del lanzamiento del parche, lo que abre una ventana de explotación para sistemas sin parchar. Herramientas de gestión de versiones como `nvm` y `volta` permiten actualizar sin interrumpir el ambiente de desarrollo.
cat /feed/basesdedatospostgresql.md
> El PostgreSQL Global Development Group publicó el miércoles la primera beta de PostgreSQL 19, que introduce dos capacidades estructurales: soporte experimental para SQL/PGQ (ISO/IEC 9075-16), el estándar de consulta de grafos sobre tablas relacionales, y un autovacuum paralelo que distribuye el trabajo entre múltiples workers para tablas fragmentadas de más de 10 GB.
> SQL/PGQ permite a los desarrolladores escribir consultas de recorrido de grafos (match de patrones, `GRAPH_TABLE`, notación de arista `->`) directamente en SQL estándar, sin necesidad de una extensión separada como `pgRouting` o un motor de grafos externo como Neo4j para casos de uso moderados. El soporte es experimental y no se recomienda para producción en esta fase.
> El autovacuum paralelo resuelve un punto de dolor documentado en tablas grandes con alto throughput de escritura: en benchmarks internos, una tabla de 50 GB con fragmentación severa se procesó en 40% menos tiempo con cuatro workers que con el proceso serial anterior. Los equipos de infraestructura de datos que usan Postgres como almacén principal deberían evaluar el upgrade path desde la beta.
GitHub completó el 15 de junio el cambio del runner `macos-latest` a la imagen basada en macOS 26 (anteriormente apuntaba a macOS 14 Sonoma), con un período de transición que cierra el 15 de julio. Los pipelines que dependían de versiones específicas de Xcode, Ruby o Python preinstalados en Sonoma pueden romperse sin aviso si el proyecto usa `macos-latest` en lugar de una versión fija como `macos-14`. GitHub documentó los cambios en su changelog oficial. Las rupturas más comunes reportadas en la comunidad involucran proyectos de iOS/macOS con versiones de Xcode ancladas a 15.x (macOS 26 trae Xcode 17 por defecto) y proyectos Ruby que asumen la versión 3.2 del sistema. La migración también introduce un cambio en la arquitectura de los runners: macOS 26 corre en Apple Silicon por defecto para todos los planes. Proyectos con binarios precompilados para x86_64 deben agregar un paso de `arch -x86_64` o recompilar sus dependencias nativas.
Oracle publicó el martes las versiones de mantenimiento MySQL 9.7.1 y 8.4.10 como parte de su ciclo de Critical Patch Update de junio. Los parches cierran doce vulnerabilidades documentadas en el motor InnoDB, el subsistema de replicación y la librería de autenticación nativa de MySQL; tres de ellas tienen puntuación CVSS mayor a 9.0 y podrían ser explotadas de forma remota sin autenticación previa si el puerto 3306 está expuesto a Internet. MySQL 5.7 alcanzó su fin de vida extendida en febrero de 2026 y ya no recibe parches de Oracle; las instalaciones que aún corren esa versión son vulnerables a todas las CVE publicadas desde esa fecha. La cifra estimada de instancias MySQL 5.7 en producción a nivel global supera los 2 millones según el conteo de Shodan. Para los equipos de desarrollo en Costa Rica que administran stacks LAMP heredados —comunes en comercio electrónico local y sistemas universitarios— el reporte es un recordatorio de que el ciclo de actualización no puede seguir siendo tratado como tarea diferible.
La CNCF publicó Kubernetes 1.34.9 con la graduación a estable del subsistema de Asignación Dinámica de Recursos (DRA, Dynamic Resource Allocation), la API que permite a los pods solicitar hardware especializado —GPUs, FPGAs, NICs de alto rendimiento— con la misma flexibilidad con que solicitan CPU y memoria. Hasta ahora DRA era alpha/beta desde K8s 1.26 y muchos operadores de clústeres GPU lo evitaban en producción. El cambio impacta directamente a los operadores de clústeres de inferencia de IA: con DRA estable, proveedores como NVIDIA pueden deprecar sus plugins de device plugin legacy y migrar al modelo de ResourceClaim, que ofrece mejor aislamiento y visibilidad de fallas. Google GKE, AWS EKS y Azure AKS ya han anunciado soporte completo en sus versiones managed para el tercer trimestre. Voces críticas en la comunidad señalan que la estabilización llegó tarde: muchos operadores desarrollaron workarounds con device plugins propietarios durante los tres años de beta, y migrar esos stacks producirá fricción. La CNCF respondió que la graduación tardía fue deliberada para incorporar retroalimentación de producción real antes de comprometerse con la API.
La semana cerró con una tanda de actualizaciones relevantes en el ecosistema de herramientas open source. Pagefind 2.0 —el motor de búsqueda estática que escanea sitios HTML y genera índices client-side— publicó su versión major con soporte para índices fragmentados que reducen el tamaño de descarga inicial en un 60% en sitios con más de 10.000 páginas. Astro 5.4 integró compresión de imágenes incremental y compatibilidad con el nuevo ViewTransition API de Chrome 128. Bun 1.2.18 cerró el ciclo de compatibilidad con la API de `node:child_process`, uno de los últimos módulos de Node.js que el runtime alternativo no implementaba completamente. El equipo de Oven estima que el 99.3% de los módulos npm más descargados corren ahora en Bun sin modificación, cifra que abre la puerta a adopciones en producción más conservadoras. En el mundo de herramientas de infraestructura, Terraform 1.11 anunció la deprecación oficial de la sintaxis HCL 1.x para cerrar en Terraform 2.0. Los equipos que aún usan recursos `resource` con interpolaciones legacy tienen un horizonte de migración de doce meses antes del corte.