Vulnerabilidades en librerias externas, como se gana dinero:
Podemos dividir a los que auditan y reportan estas vulnerabilidades en 2 grandes grupos, y cada uno monetiza de forma distinta:
1. Las Empresas de Ciberseguridad (El negocio B2B)
Acá entran las agencias corporativas y los fabricantes de los scanners de los que hablábamos antes (Snyk, Sonar). Estas empresas tienen divisiones enteras de Threat Intelligence (Inteligencia de Amenazas) llenas de investigadores nivel senior que se dedican 24/7 a auditar código open-source, imágenes de Docker y ecosistemas como npm o Maven. No cobran por reportar el CVE a la base de datos pública. Si el equipo de Snyk descubre un troyano crítico en Axios, su motor de escaneo se actualiza primero y protege a sus clientes premium antes de que el parche se haga público.
2. Los Cazarrecompensas (Bug Bounties)
Acá están los investigadores independientes, hackers éticos (White Hats) o firmas de consultoría boutique. En lugar de desarrollar un producto, se dedican a buscar vulnerabilidades en software que cuenta con programas públicos de recompensas, operando a través de plataformas como HackerOne o Bugcrowd.
Empresas gigantes o grandes proyectos open-source (muchas veces financiados por la Linux Foundation o el Open Source Security Foundation) ofrecen un tarifario público. Un bug de baja severidad te puede pagar $500, pero descubrir una Ejecución de Código Remoto (RCE) o un ataque de cadena de suministro crítico en una librería clave te puede pagar $20,000, $50,000 o más en un solo pago. Se les paga por el reporte privado para dar tiempo a crear el parche antes de publicarlo.
Leer parte 1 en
LYcu*h0d8
SnWHrADkSCrl4
aJEuflPd^ 
DESARROLLADORES
DISEÑADORES
RECLUTADORES
CIBERSEGURIDAD
DEVOPS
DATA SCIENTISTS
PRODUCT MANAGERS
QA ENGINEERS
FREELANCERS
ESTUDIANTES
TECH LEADS
FULLSTACK
DESARROLLADORES
DISEÑADORES
RECLUTADORES
CIBERSEGURIDAD
DEVOPS
DATA SCIENTISTS
PRODUCT MANAGERS
QA ENGINEERS
FREELANCERS
ESTUDIANTES
TECH LEADS
FULLSTACK
Foro de la comunidad
Hacé preguntas, compartí ideas y conectá con otros developers argentinos.
11 publicaciones
Cuando estamos trabajando en un proyecto de software es normal utilizar librerias de terceros para ahorrarnos trabajo sea en diseño, linters, facilidad para la creacion de codigo, manejo de fechas. Pero que pasa detras de todas estas librerias cuando se encuentra una vulnerabilidad.
El post de hoy es sobre VULNERABILIDADES, quienes las detectan, donde se reportan para que tengan un alcance global, como son los pasos para solucionarla y cómo los pipelines interceptan código malicioso automáticamente antes del deploy.
Vamos a usar de referencia el ataque de cadena de suministro que sufrimos a COMIENZO de este mes con Axios 1.14, la cual fue una de las vulnerabilidades mas grandes de lo que va del año.
El primer participante es una firma de ciberseguridad quien detecta un hueco en una librería, no hace un post en redes sociales; activa un protocolo de divulgación coordinada. Se reporta el problema a una autoridad de ciberseguridad y se le asigna un CVE (Common Vulnerabilities and Exposures ), que es el identificador único e inmutable de la amenaza. Inmediatamente, este CVE se indexa en bases de datos globales, como la NVD (National Vulnerability Database) y la base de advisories de GitHub. En ese registro queda documentado el vector de ataque, el nivel de criticidad y las versiones exactas afectadas. En ese instante, la vulnerabilidad se vuelve pública y empieza la carrera contrarreloj.
El bloqueo en el Pipeline (CI/CD)
Los motores de DevSecOps integrados en herramientas como GitHub Actions o GitLab CI no trabajan adivinando; trabajan por sincronización.
Al dispararse el pipeline por un PR o un merge, el scanner cruza los datos de librerias externas en milisegundos contra los CVEs críticos activos.
Si encuentra coincidencia, devuelve un código de error al sistema, falla intencionalmente y frena el pipeline.
El ecosistema de ciberseguridad no vive del amor al arte; está estructurado para incentivar económicamente el descubrimiento de fallos antes de que los exploten los atacantes reales (los Black Hats).
Como ganan dinero las agencias de ciberseguridad:
Jeff Bezos:
“La IA es real y va a cambiar todas las industrias. De hecho, es una tecnología muy inusual, porque funciona como una capa base transversal.”
Capa base transversal.
Tres palabras que redefinen el valor de todo el sector tecnológico.
El iPhone fue un vertical: un producto, un nuevo mercado.
La electricidad fue un horizontal: una base que reconfiguró todos los mercados del mundo.
Wall Street está valorando la IA como si fuera el próximo iPhone. Bezos está diciendo que es la próxima red eléctrica.
Hoy, miles de empresas intentan vender IA como si fuera un producto.
Una feature. Una herramienta. Un plan de suscripción.
Todas ellas van a tender a valer cero.
No vendés una capa base. No competís con ella. Construís encima… o desaparecés debajo.
Durante décadas, industrias enteras sobrevivieron gracias a una cosa: la complejidad.
La fricción de navegar el derecho, la medicina, la logística, las finanzas. Si no entendías el laberinto, no podías competir.
Una capa base no navega el laberinto. Elimina las paredes.
La electricidad no compitió con las velas. Eliminó la necesidad de usarlas.
Lo más peligroso de un cambio horizontal es lo silencioso que es. Se mueve por debajo de la economía. En la superficie, todo parece normal. Los ingresos siguen ahí.
Pero cada día que operás sobre la vieja base, acumulás una deuda invisible que no podés pagar.
Internet redefinió la distribución. La IA está redefiniendo la cognición.
Cuando la inteligencia se vuelve una utilidad que corre por dentro de todas las empresas del mundo, el valor diferencial de la experiencia humana no se erosiona. Desaparece.
Esto no es una disrupción. Las disrupciones reemplazan productos.
Estoy buscando mi primera oportunidad como desarrolladora frontend junior. Vengo estudiando hace varios meses y ya tengo algunos proyectos hechos
Me interesa mucho poder entrar a un equipo donde pueda seguir aprendiendo, recibir feedback y aportar desde lo que sé. Me adapto rápido, soy constante y realmente disfruto programar.
Si alguien sabe de alguna oportunidad, trainee o junior, o simplemente quiere darme un consejo, lo súper agradezco 🙌
Gracias por leer 💙
CP
0
1Mi humilde aporte PDFs y Libros gratis
Hola a todos. Quería compartirles un poco de qué se trata Outlier.ai, una plataforma que viene sonando bastante últimamente y que puede resultar una alternativa interesante para generar un ingreso extra dentro de nuestro sector.
Básicamente, es una plataforma enfocada en el entrenamiento de inteligencia artificial (lo que se conoce como RLHF, o aprendizaje por refuerzo a partir de feedback humano). Grandes laboratorios de IA necesitan especialistas técnicos para evaluar y corregir sus modelos de lenguaje, y ahí es donde entramos nosotros.
El día a día consiste en interactuar con la IA: auditar código que genera el modelo, refactorizarlo, detectar "alucinaciones", armar prompts complejos o validar que la lógica detrás de una respuesta técnica sea correcta.
Algo clave es que esto no se limita únicamente a la programación. Los proyectos de mejor nivel buscan perfiles técnicos variados, por lo que profesionales de QA, DevOps, Infraestructura e incluso Diseño tienen mucho espacio.
Pero también hay que ser realistas con los puntos en contra. El principal dolor de cabeza es la inestabilidad de las tareas, lo que en la plataforma llaman "EQ" (Empty Queue o cola vacía). Podés tener semanas con muchísimo trabajo y de repente pasar días sin asignaciones. Son muy estrictos con el control de calidad: las reglas de los proyectos cambian seguido y, si tus métricas bajan, te pueden remover del proyecto rápidamente. A esto se le suma que el soporte técnico suele ser bastante lento.
En conclusión, no es una plataforma que ofrezca la estabilidad necesaria para reemplazar un puesto IT tradicional a tiempo completo. Sin embargo, si buscan capitalizar el tiempo libre, monetizar el conocimiento que ya tienen en sus respectivas áreas y meterse de lleno en el mundo de la IA, es un excelente complemento para sumar al radar.
Website:
N
2
1customizar claude code
De contenedores a unikernels: ¿El próximo gran salto en nuestra infraestructura?
Llevamos años estandarizando nuestros despliegues con contenedores. Sin duda, han sido la pieza fundamental para orquestar nuestras arquitecturas y microservicios, solucionando de una vez por todas el clásico problema de "en mi máquina sí funciona". Sin embargo, la tecnología no se detiene, y hoy quiero abrir el debate sobre una evolución que viene pisando fuerte: los unikernels.
¿Por qué pensar más allá del contenedor?
Aunque los contenedores aislaron nuestras aplicaciones, siguen dependiendo del kernel del sistema operativo anfitrión y a menudo empaquetan utilidades, binarios y librerías que la aplicación jamás va a usar. Agregando espacio con herramientas que no utilizaremos en nuestro sistema.
Un unikernel rompe con este esquema tradicional. La idea es tomar el código de tu aplicación y compilarlo junto con exclusivamente las piezas del sistema operativo que necesita para funcionar (como el stack de red o el sistema de archivos). El resultado es una única imagen ejecutable, altamente especializada. Nada de shell, nada de procesos en segundo plano, nada de utilidades innecesarias.
Este cambio de paradigma trae tres ventajas masivas:
Más ligeros: Al eliminar todo el código sobrante del SO, las imágenes de los unikernels son minúsculas, a menudo pesando solo unos pocos megabytes. Esto maximiza brutalmente la densidad de aplicaciones que podemos correr en un mismo hardware.
Más rápidos: Al no haber un proceso de arranque de un sistema operativo tradicional, los unikernels pueden iniciar en cuestión de milisegundos. Esto los hace ideales para arquitecturas verdaderamente serverless o para escalar de forma instantánea ante picos de demanda imprevistos.
Más seguros: Esta es quizás la mayor victoria. Al no existir un sistema operativo completo de fondo, la superficie de ataque se reduce drásticamente. Si un atacante logra vulnerar la aplicación, no hay una consola de comandos (shell) que pueda aprovechar ni binarios del sistema que pueda explotar. El impacto queda completamente contenido.
Como profesionales que diseñamos sistemas complejos, ya sea integrando modelos de IA, procesando grandes volúmenes de datos o construyendo arquitecturas distribuidas, la eficiencia y la seguridad son innegociables. Los unikernels ofrecen una respuesta arquitectónica muy elegante a estas demandas.
Claro que no todo es mágico todavía. Las herramientas de observabilidad y debugging aún no tienen la inmensa madurez que hemos logrado con el ecosistema de contenedores, y su adopción requiere repensar ciertas prácticas de desarrollo.
Video con mas info:
¿Qué opinan ustedes? ¿Ven a los unikernels como el estándar del futuro para reemplazar gradualmente a los contenedores, o creen que quedarán reservados solo para nichos de extrema seguridad y ultra-rendimiento?
+1
Buenos días.
Antes de entrar en el tema, hay algo que me llamó mucho la atención: la cantidad de nuevos clientes freelance que me están llegando. Durante años, la mayoría de mis clientes tenian un rango de edad entre 25 y 40 años. En las ultimas semanas empecé a tener llamadas con personas de más de 50, muchas de ellas con proyectos ya bastante avanzados, desarrollados usando herramientas como Google AI Studio.
Voy a hablarles sobre ,una señora de aproximadamente 55 años. llevando a cabo una idea con ayuda de la IA 🤯
Aunque para ella los conceptos no son del todo claros, viene aprendiendo —como ella misma me dice— “fairebaise”, “baken”, “fronen”. Ex abogada, sin formación técnica previa, pero con algo que hoy vale oro: ganas reales de aprender, incluso a esta altura de su vida.
Esto deja en evidencia el impacto real que tuvo la IA en el desarrollo diario. En mi opinión, esto es muy positivo, porque refuerza algo que siempre fue cierto: no cobramos por lo que HACEMOS, cobramos po
CPD
2
2llega un punto en el que uno se cansa
CP
+1
1
2vvv
· fin del foro ·
Mi Perfil
?
No estás logueado
Iniciar sesiónComunidad pública
Seguinos y conectá con miles de developers argentinos.