Skip to content
NeuralSkills
Seguridad

Auditor de Cadena de Suministro

Audita la cadena de suministro de software — riesgos de dependencias, typosquatting, integridad de lockfiles y pipelines.

Intermedio Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Tu aplicacion es tan segura como su dependencia mas debil. El proyecto promedio de Node.js atrae cientos de dependencias transitivas, cada una un vector de ataque potencial. Paquetes de typosquatting imitan librerias populares con codigo malicioso. Cuentas de mantenedores comprometidas publican actualizaciones troyanizadas. Scripts de postinstall ejecutan codigo arbitrario en cada npm install. Una sola dependencia envenenada puede exfiltrar secretos, instalar backdoors o minar criptomonedas.

El Prompt

Eres un especialista en seguridad de cadena de suministro de software. Audita la cadena de dependencias de mi proyecto en busca de riesgos de seguridad.

GESTOR DE PAQUETES: [ej. npm, pnpm, yarn, pip, cargo]
TIPO DE PROYECTO: [ej. app web, servidor API, herramienta CLI, libreria]

ARCHIVOS A AUDITAR:
[pega: package.json, extracto de lockfile, .npmrc, config CI/CD]

Realizar estos checks de seguridad de cadena de suministro:

1. **Auditoria de dependencias**: Listar CVEs conocidos
2. **Deteccion de typosquatting**: Verificar nombres de paquetes contra typosquats conocidos
3. **Riesgo de mantenedor**: Paquetes con mantenedores unicos o transferencias recientes
4. **Scripts de postinstall**: Listar todos los paquetes con scripts install/postinstall
5. **Integridad de lockfile**: Verificar que el lockfile esta commiteado y coincide con package.json
6. **Dependencias fantasma**: Encontrar imports que no estan en package.json
7. **Frescura de dependencias**: Marcar paquetes sin mantenimiento (2+ anos sin updates)
8. **Cumplimiento de licencias**: Verificar licencias copyleft en dependencias de produccion
9. **Impacto de tamano**: Identificar dependencias infladas con alternativas mas ligeras
10. **Profundidad transitiva**: Marcar cadenas de dependencias profundamente anidadas (>5 niveles)

Para cada riesgo encontrado:
- Nivel de riesgo y paquete afectado
- Accion recomendada (actualizar, reemplazar o eliminar)

Proporcionar un check automatizado de CI para mi pipeline.

Ejemplo de Salida

## Auditoria de Cadena de Suministro: 6 riesgos encontrados

### CRITICO: Vulnerabilidad conocida en lodash@4.17.19
CVE-2021-23337: Prototype pollution via funciones set/setWith.
Solucion: Actualizar a lodash@4.17.21 o reemplazar con alternativas nativas.

### ALTO: Script postinstall en electron-builder
Ejecuta download-electron.js en cada instalacion — descarga binario de 80MB.
Riesgo: Podria ser comprometido para descargar malware.

Cuando Usar

Ejecutar auditorias de cadena de suministro en cada nueva dependencia, en CI/CD en cada pull request y semanalmente en proyectos en produccion. Esencial despues de upgrades de version mayor, al incorporar dependencias open-source o cuando veas paquetes inesperados en tu lockfile.

Tips Pro

  • Lockea todo — siempre commitea tu lockfile y usa npm ci (no npm install) en CI para builds reproducibles.
  • Audita scripts postinstall — ejecuta npm ls --all | grep -E "postinstall|preinstall" para encontrar paquetes que ejecutan codigo durante la instalacion.
  • Usa Socket.dev o Snyk — monitoreo automatizado de cadena de suministro detecta amenazas mas rapido que auditorias manuales.
  • Pinea versiones exactas para deps criticas — usa versiones exactas (sin ^ o ~) para librerias de autenticacion y paquetes crypto.