Actualmente existe una problemática real con ataques que han afectado de forma recurrente a paquetes de NPM; sin embargo hay formas de minimizar ese impacto en nuestros proyectos aplicando políticas de seguridad en el gestor de paquetes pnpm

pnpm ofrece una opción llamada minimumReleaseAge que evita instalar versiones publicadas muy recientemente, reduciendo el riesgo de incorporar paquetes comprometidos o maliciosos que acaban de ser liberados

Cómo funciona y cómo configurarlo

1. Definición: minimumReleaseAge se expresa en minutos y establece el tiempo mínimo que debe transcurrir desde la publicación de una versión para que pnpm permita su instalación

2. Dónde configurarlo: puede definirse en el archivo pnpm-workspace.yaml o en un archivo de configuración específico de pnpm

3. Ejemplo práctico: para evitar instalar versiones publicadas en los últimos 3 días (3 x 24 x 60 = 4320 minutos) se añade en pnpm-workspace.yaml la siguiente entrada

minimumReleaseAge: 4320

4. Exclusiones: si necesitas que algunos paquetes instalen siempre su última versión sin esperar, usa minimumReleaseAgeExclude y lista los paquetes que quieres excluir

Ejemplo de exclusión: minimumReleaseAgeExclude: [package-a, package-b]

Con esta política pnpm rechazará instalaciones automáticas de versiones con menos de 3 días desde su publicación lo que ayuda a prevenir ataques de cadena de suministro donde versiones maliciosas suelen detectarse y eliminarse poco después de su publicación

Requisitos y recomendaciones

Esta funcionalidad está disponible desde pnpm versión 10.16.0 en adelante

Valores recomendados según necesidad

1440 minutos (1 día): valor equilibrado para evitar versiones recién publicadas y dar tiempo a la detección de problemas

60 a 180 minutos (1 a 3 horas): para proyectos que necesitan actualizaciones rápidas pero con un margen de seguridad

0 minutos: prioridad en disponer siempre de la última versión sin demora, mayor riesgo

Buenas prácticas

Combina minimumReleaseAge con revisiones automatizadas de dependencias, escaneos de seguridad y un proceso de despliegue controlado. Mantén listas de exclusión bien justificadas y documentadas y actualiza las políticas según la criticidad del proyecto

Sobre Q2BSTUDIO y cómo podemos ayudar

En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones integrales que incluyen software a medida, aplicaciones a medida, inteligencia artificial, ciberseguridad y servicios cloud aws y azure. Diseñamos estrategias para proteger la cadena de suministro de dependencias y aplicar controles como minimumReleaseAge dentro de flujos de trabajo seguros

Si necesitas soporte para adaptar tus proyectos y pipelines te ofrecemos servicios de desarrollo a medida y consultoría en ciberseguridad; conoce nuestras soluciones de seguridad y pentesting en ciberseguridad y pentesting y descubre cómo creamos aplicaciones robustas en desarrollo de aplicaciones y software a medida

Palabras clave: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi

Conclusión

Aplicar minimumReleaseAge en pnpm es una medida sencilla y efectiva para aumentar la seguridad y estabilidad de las instalaciones de dependencias; integrada dentro de una estrategia de seguridad más amplia, ayuda a mitigar riesgos de forma práctica y operativa. Si quieres que implementemos estas políticas en tus proyectos ponte en contacto con Q2BSTUDIO para una auditoría y plan de acción