Skip to content

Security Patch & Dependency Optimization#170

Merged
trbureiyan merged 2 commits into
mainfrom
security/patch-dependencies
Apr 8, 2026
Merged

Security Patch & Dependency Optimization#170
trbureiyan merged 2 commits into
mainfrom
security/patch-dependencies

Conversation

@trbureiyan
Copy link
Copy Markdown
Owner

@trbureiyan trbureiyan commented Apr 8, 2026

1. Resumen

Este PR consolida una serie de mejoras críticas en la seguridad y el mantenimiento del proyecto, centrándose en el aislamiento de procesos de instalación, la actualización del entorno de ejecución y la eliminación de código legado detectado en auditorías previas.

2. Funcionalidades y Cambios

  • Seguridad de Dependencias:
    • Implementación de ignore-scripts=true en .npmrc para prevenir la ejecución automática de scripts maliciosos durante la instalación.
    • Adición del comando npm run secure-install para flujos de trabajo protegidos en local y CI.
  • Modernización de Runtime: Actualización de la versión de Node.js a la v24 en el flujo de CI (.github/workflows/ci.yml).
  • Optimización de Prisma:
    • Migración a la importación explícita del cliente generado en prisma.
    • Ajuste de relaciones en el esquema (onDelete: Cascade) para asegurar la integridad referencial en schema.prisma.
  • Limpieza de Código (Refactor):
    • Eliminación definitiva de múltiples archivos obsoletos y constantes deprecadas (antes en _deprecated/).
    • Eliminación de scripts utilitarios inseguros o sin uso como generate-token.js.
  • Mejoras en Perfiles: Implementación de la lógica de recuperación de perfiles reales mediante el nuevo helper getUserProfileById en lib/data/users.ts, reemplazando datos estáticos en la vista de perfil.

3. Cambios en la Infraestructura de CI

  • Se ha añadido un paso explícito de npx prisma generate en el workflow, ya que el bloqueo de scripts de NPM impide que se genere automáticamente durante el install.

4. Archivos Clave Modificados

Archivo Cambio Principal
ci.yml Node.js v24 + Manual Prisma Generate
.npmrc Bloqueo de scripts de ejecución (Security)
schema.prisma Configuración de Cascada y Output personalizado
postgresDriver.ts Cambio de importación de PrismaClient
app/(protected)/profile//profile/) Redirección y consumo de datos reales

Prioridad: ALTA (Security Patches)

Checklist Pre-Merge

  • Instalación limpia testeada con ignore-scripts.
  • Cliente de Prisma generado correctamente en generated.
  • Verificado el funcionamiento de la redirección de perfiles en modo cliente.

@trbureiyan
Merge branch 'main' into security/patch-dependencies
12e5bc5
@trbureiyan
fix: actualizacion de dependencias y limpieza del tree
58dfd9f 
*   **Actualización de nodemailer:** de la versión `^7.0.9` a la `8.0.5` (cambio importante/ruptura de compatibilidad) mediante `npm audit fix --force`.
*   **Resolución de vulnerabilidad:** se soluciona el fallo `GHSA-c7w3-x93f-qmm8` (inyección de comandos SMTP).
*   **Depuración del árbol de dependencias:** se eliminaron 75 paquetes sin uso y se actualizaron 18 paquetes.
@vercel
Copy link
Copy Markdown

vercel Bot commented Apr 8, 2026

The latest updates on your projects. Learn more about Vercel for GitHub.

Project Deployment Actions Updated (UTC)
devurity-web Ready Ready Preview, Comment Apr 8, 2026 2:46am

@trbureiyan trbureiyan added dependencies Pull requests that update a dependency file security About vulnerabilities and security updates or fixes fix Corrección de bugs o comportamiento incorrecto ci Cambios en CI/CD, GitHub Actions, automatización de build y deploy labels Apr 8, 2026
@trbureiyan trbureiyan merged commit 28a0e0b into main Apr 8, 2026
3 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

@trbureiyan trbureiyan

@Manuel-Yasno Manuel-Yasno

Labels

ci Cambios en CI/CD, GitHub Actions, automatización de build y deploy dependencies Pull requests that update a dependency file fix Corrección de bugs o comportamiento incorrecto security About vulnerabilities and security updates or fixes

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@trbureiyan @Manuel-Yasno