Una jornada densa para el ecosistema de desarrollo: el sistema de control de versiones más usado del mundo da un salto con Rust, Microsoft confirma los primeros benchmarks de TypeScript 7 y una brecha de seguridad masiva afecta la cadena de suministro de npm.
El ataque a la cadena de suministro de npm es uno de los más grandes registrados: los paquetes exfiltran secretos de GitHub, AWS y Kubernetes desde entornos de integración continua.
Investigadores de seguridad revelaron que más de 170 paquetes del registro npm fueron comprometidos en una campaña coordinada de ataque a la cadena de suministro, con una suma de más de 200 millones de descargas semanales. Los paquetes, que incluían dependencias de proyectos de frontend, herramientas de desarrollo y utilidades de DevOps, fueron modificados para exfiltrar secretos de entornos de CI/CD: tokens de GitHub Actions, credenciales de AWS IAM, configuraciones de Kubernetes y variables de entorno de pipelines de Jenkins y CircleCI. La investigación, publicada por el equipo de Cybersecurity News, indica que los atacantes utilizaron técnicas de typosquatting y de compromiso de cuentas de mantenedores con correos electrónicos desactivados para inyectar el código malicioso. Algunos paquetes comprometidos llevan más de seis meses en el registro antes de ser detectados. Los desarrolladores y equipos de DevOps deben auditar sus lockfiles inmediatamente, verificando que ningún paquete instalado corresponde a las hashes comprometidas publicadas por npm Security. El incidente reitera la vulnerabilidad estructural del modelo de dependencias transitivas: un proyecto promedio de Node.js tiene más de 700 dependencias transitivas, de las cuales el equipo suele conocer directamente menos del 10%. Desde Costa Rica, los equipos de desarrollo en zonas francas y empresas SaaS locales que usan pipelines CI/CD deben revisar sus configuraciones de secretos.
El mantenedor Junio Hamano anunció el lanzamiento con 100 contribuyentes y tres cambios que afectan el flujo de trabajo cotidiano de millones de desarrolladores.
Git 2.55.0 fue lanzado esta semana con tres novedades que mejorarán la vida diaria de los desarrolladores. La más significativa arquitecturalmente es que el soporte experimental de Rust —que llevaba dos versiones como opcional— queda habilitado por defecto. Esto no cambia el comportamiento de los comandos existentes, pero sienta la base para que partes críticas de Git sean reescritas en Rust con garantías de seguridad de memoria, siguiendo la misma lógica que el kernel Linux adoptó en 2022. El cambio más visible para usuarios finales es el nuevo comando `git history fixup`, que permite incorporar cambios staged directamente en un commit anterior sin necesidad de iniciar un rebase interactivo. En la práctica, elimina el flujo `git rebase -i → editor → fixup! → squash` que los desarrolladores repetían varias veces al día para mantener un historial limpio. El fsmonitor daemon —que monitorea cambios en el sistema de archivos en tiempo real— llega a Linux, completando su soporte multiplataforma tras Windows y macOS. Git 2.55 también mejora el repacking con multi-pack indexes incrementales, lo que reduce significativamente el tiempo de las operaciones `git gc` en repositorios grandes. GitHub anunció que actualizará sus servidores a Git 2.55 en las próximas dos semanas. Para los equipos de desarrollo en Costa Rica —donde Git es la herramienta de control de versiones estándar en el 97% de las empresas de software según una encuesta de la Cámara de Tecnologías de Información de Costa Rica (CAMTIC) de 2025—, la actualización llegará de forma transparente a través de sus gestores de paquetes.
cat /feed/typescriptcompilador.md
> El Proyecto Corsa —nombre interno de Microsoft para la reescritura del compilador de TypeScript en Go— ya tiene benchmarks publicados. VS Code, el editor de código de Microsoft con más de 100 millones de usuarios, compila su codebase en 7,5 segundos con el nuevo compilador frente a los 77,8 segundos del compilador actual en TypeScript. Playwright pasa de 11,1 segundos a 1,1 segundo. La aceleración de ~10x es consistente en todos los proyectos grandes medidos.
> La elección de Go sobre Rust —la alternativa más discutida— fue explicada por el equipo de TypeScript en The New Stack: Go tiene mejores herramientas de concurrencia para el patrón de trabajo del compilador (análisis en paralelo de múltiples archivos), y su curva de aprendizaje menor facilita que los contribuyentes externos se sumen. El compilador en Go será el núcleo de TypeScript 7.0, cuyo lanzamiento apunta a mediados de 2026 según el roadmap público.
> Importante: TypeScript 7.0 mantendrá la compatibilidad total con el código TypeScript existente. El cambio es en la implementación del compilador, no en el lenguaje. La velocidad de compilación es el cambio más tangible para los desarrolladores; el type-checking y el soporte de IDEs deberían mejorar en proporciones similares. Para proyectos con monorepos grandes —comunes en empresas de Costa Rica con múltiples servicios en un mismo repositorio—, el impacto en productividad podría ser de horas ahorradas por semana.
La feature más solicitada en la historia de Kubernetes —cambiar CPU y memoria sin matar el pod— alcanza disponibilidad general en una versión que la comunidad lleva tres años esperando.
Kubernetes 1.35 «Timbernetes», lanzado en diciembre de 2025 pero con adopción activa en julio de 2026, lleva a disponibilidad general (GA) el In-Place Pod Resource Resizing: la capacidad de cambiar los recursos de CPU y memoria asignados a un pod sin necesidad de destruirlo y recrearlo. Hasta ahora, cualquier ajuste de recursos en producción requería un rolling restart que podía interrumpir servicios durante segundos o minutos. La feature tiene impacto directo en casos de uso de IA y análisis de datos, donde los jobs de entrenamiento o procesamiento pueden necesitar más memoria en puntos específicos de su ejecución y luego liberarla. La implementación GA responde a tres años de trabajo en el repositorio principal de Kubernetes y más de 40 KEPs (Kubernetes Enhancement Proposals) asociadas. Kubernetes v1.37, la siguiente versión, está prevista para agosto de 2026. Otras novedades de v1.35 que han ganado tracción en producción este mes incluyen el soporte nativo para OCI image volumes (montar imágenes de contenedor directamente como volúmenes) y mejoras en la autenticación con webhooks de alta disponibilidad. Equipos de ingeniería costarricenses en multinacionales de tecnología reportaron que la actualización a v1.35 ya está en sus roadmaps de Q3 2026.
La habilitación de Rust por defecto en Git 2.55 no es un evento aislado: es el punto más reciente de un arco de adopción que empezó en 2022 cuando el kernel Linux aceptó las primeras contribuciones de Rust para desarrollo de drivers, y que continuó con Google anunciando que el 50% del código nuevo en Android se escribe en Rust desde 2025. El argumento central no es la velocidad —aunque Rust compite con C en rendimiento— sino la seguridad de memoria. La NSA de EEUU publicó en 2022 una guía recomendando la migración a lenguajes «memory-safe» para software crítico, mencionando explícitamente a Rust, Go y Python. El 70% de las vulnerabilidades críticas en software de sistema se origina en bugs de gestión de memoria en C y C++, según datos de Microsoft Research. El debate no está cerrado: hay sectores de la comunidad de sistemas que señalan que Rust tiene una curva de aprendizaje pronunciada, que su modelo de ownership genera fricción en proyectos con muchos contribuyentes externos, y que su toolchain es menos maduro que el de C en plataformas embebidas y de nicho. Linus Torvalds ha dicho que el código Rust en el kernel debe mantenerse en áreas donde aporte valor claro, sin desplazar C a la fuerza. Para los desarrolladores costarricenses que trabajan en sistemas embebidos o de bajo nivel, Rust empieza a aparecer en requisitos de vacantes en zonas francas.
— La integración de Rust por defecto en Git 2.55 es el último paso de una adopción que lleva cuatro años consolidándose en el software más sensible del ecosistema de código abierto.
Fedora 44, cuyas ISOs actualizadas de julio 2026 fueron publicadas el 1 de julio, incluye Python 3.14.4 con soporte del free-threading experimental (PEP 703): la posibilidad de deshabilitar el Global Interpreter Lock (GIL) y aprovechar todos los núcleos disponibles en tareas de CPU-bound. La feature llega en modo «opt-in»: los programas no cambian su comportamiento por defecto, pero los que requieren paralelismo real pueden habilitarlo con una bandera de compilación. El GIL ha sido el punto más criticado de CPython durante décadas: obliga a que solo un thread de Python ejecute bytecode a la vez, limitando el paralelismo real en tareas de procesamiento intensivo. La alternativa histórica han sido el multiprocessing o frameworks como asyncio, que tienen overhead y complejidad propios. El free-threading de Python 3.14 no elimina el GIL, solo lo hace opcional. Bibliotecas populares como NumPy, Pandas y PyTorch todavía no son completamente thread-safe en modo sin GIL, por lo que la adopción real será gradual. El proyecto CPython prevé que Python 3.16 (2028) declare el free-threading como estable y empiece el proceso de deprecación del GIL. Para los desarrolladores de ciencia de datos y machine learning en Costa Rica —un perfil en crecimiento— el cambio es relevante en el mediano plazo.
El desarrollo de software en julio de 2026 se define por tres tendencias que coinciden en la misma semana. La primera es la adopción de Rust en la infraestructura más crítica: Git 2.55, el kernel Linux 7.2-rc1 y Android marcan una transición generacional que tardó una década en madurar. La segunda es la crisis de confianza en el ecosistema de paquetes de código abierto: el ataque a 170 paquetes npm y los 200 millones de descargas comprometidas no son un accidente, son el resultado predecible de un modelo de dependencias donde nadie es responsable del todo. La tercera es la velocidad de compilación como variable estratégica: TypeScript 7 con Go demuestra que una reescritura bien planificada puede recuperar décadas de deuda técnica en 12 meses. El reto del desarrollador en 2026 es gestionar esas tres tendencias simultáneamente: adoptar Rust sin convertirlo en dogma, auditar dependencias sin volverse paranoico y absorber la aceleración del tooling sin perder la profundidad de los fundamentos. Las empresas que mejor lo hagan tendrán la ventaja competitiva más duradera.