Deno 2.8.2: cripto post-cuántica y deno compile --bundle
Deno 2.8.2 trae ML-DSA (FIPS 204) y ML-KEM (FIPS 203) post-cuánticos en WebCrypto, más ChaCha20-Poly1305 y SHAKE. Suma el flag --bundle a deno compile (mejor resolución de dependencias, embebido de npm acotado a lo que el bundle realmente usa), soporte de node:wasi, proxy de env/globals para node:http(s), y reescribió el kernel de Jupyter en JS dejando atrás zeromq. Más de 100 fixes. Si firmás tokens o hacés single-binary deploys, este release te interesa.
PostgreSQL 19 Beta 1: autovacuum paralelo, async I/O escalable y pg_plan_advice
Salió la primera beta de PG19. Lo que más vas a sentir: autovacuum con workers paralelos (autovacuum_max_parallel_workers) y un nuevo scoring para priorizar tablas; io_method=worker ahora escala solo entre io_min_workers e io_max_workers; inserts de foreign key más rápidos; la extensión pg_plan_advice para estabilizar decisiones del planner; WAIT FOR LSN contra stale reads en réplicas; y soporte SQL/PGQ. Ojo con dos cambios de default: JIT desactivado y RADIUS removido por completo. GA estimada para sep/oct. Probá en staging antes.
Cloudflare Workers: Bulk Secrets API, Workflow cron y Agents SDK 0.14
Semana movida en el developer platform de Cloudflare. La Bulk Secrets API (3 jun) permite crear/actualizar/borrar hasta 100 secrets en una sola request — adiós a los scripts en loop. Los Workflows ahora aceptan cron directo en wrangler.jsonc para disparar instancias automáticas (2 jun). Y el Agents SDK v0.14.0 (2 jun) trae Agent Skills on-demand, tareas programadas con timezone, ThinkWorkflow para razonamiento durable y mejoras de transporte MCP. Si estás en el edge, buena DX para meter.
Campaña de dependency confusion: 45 paquetes npm de reconocimiento
Microsoft documentó una campaña con 45 paquetes maliciosos en tres cuentas (mr.4nd3r50n, ce-rwb, t-in-one — todas @yandex.ru, mismo operador según forense por C2 e tokens compartidos). Usan dependency confusion: registran paquetes scoped que imitan namespaces internos de 9 organizaciones (incluida la infra de pagos de Sberbank). Por ahora corre en modo solo reconocimiento — recolecta hostname, env vars y contexto de dev — pero la arquitectura ya está lista para robar credenciales. Si tenés scopes internos, registrá placeholders defensivos en el registry público.
Tendencias Destacadas
El gusano Miasma mutó de hooks preinstall (Red Hat, 1 jun) a binding.gyp (Phantom Gyp, 3 jun) en 48hs — los atacantes ya iteran más rápido que tus scanners. La provenance SLSA/Sigstore firmada NO garantiza que el código sea benigno si el pipeline está comprometido.
Cripto post-cuántica entrando a runtimes mainstream: Deno 2.8.2 expone ML-DSA y ML-KEM en WebCrypto. Vale ir mapeando dónde firmás/encriptás antes de que NIST apriete los deadlines de migración.
Deno 2.8.2: post-quantum crypto and deno compile --bundle
Deno 2.8.2 ships post-quantum ML-DSA (FIPS 204) and ML-KEM (FIPS 203) in WebCrypto, plus ChaCha20-Poly1305 and SHAKE. It adds a --bundle flag to deno compile (better dependency resolution, npm embedding scoped to what the bundle actually reaches), node:wasi support, env/global proxying for node:http(s), and a JS-rewritten Jupyter kernel that drops zeromq. 100+ fixes. Worth a look if you sign tokens or ship single-binary deploys.
PostgreSQL 19 Beta 1: parallel autovacuum, scalable async I/O, pg_plan_advice
PG19's first beta is out. What you'll actually feel: parallel autovacuum workers (autovacuum_max_parallel_workers) with a new table-prioritization scoring; io_method=worker now auto-scales between io_min_workers and io_max_workers; faster foreign-key inserts; the pg_plan_advice extension to stabilize planner decisions; WAIT FOR LSN against stale replica reads; and SQL/PGQ support. Note two default changes: JIT off by default and RADIUS auth fully removed. GA expected Sep/Oct. Test on staging first.
Cloudflare Workers: Bulk Secrets API, Workflow cron and Agents SDK 0.14
Busy week on Cloudflare's developer platform. The Bulk Secrets API (Jun 3) lets you create/update/delete up to 100 secrets in a single request — no more loop scripts. Workflows now accept direct cron in wrangler.jsonc to auto-trigger instances (Jun 2). And Agents SDK v0.14.0 (Jun 2) brings on-demand Agent Skills, timezone-aware scheduled tasks, ThinkWorkflow for durable reasoning, and MCP transport improvements. Solid DX if you're on the edge.
Dependency-confusion campaign: 45 npm reconnaissance packages
Microsoft documented a campaign with 45 malicious packages across three accounts (mr.4nd3r50n, ce-rwb, t-in-one — all @yandex.ru, one operator per forensics via shared C2 and tokens). They use dependency confusion: registering scoped packages mirroring 9 organizations' internal namespaces (including Sberbank's payment infra). It currently runs in reconnaissance-only mode — collecting hostname, env vars and dev context — but the architecture is ready for credential theft. If you have internal scopes, register defensive placeholders on the public registry.
Notable Trends
The Miasma worm mutated from preinstall hooks (Red Hat, Jun 1) to binding.gyp (Phantom Gyp, Jun 3) in 48h — attackers now iterate faster than your scanners. Signed SLSA/Sigstore provenance does NOT guarantee benign code when the pipeline itself is compromised.
Post-quantum crypto is landing in mainstream runtimes: Deno 2.8.2 exposes ML-DSA and ML-KEM in WebCrypto. Worth mapping where you sign/encrypt before NIST migration deadlines tighten.
Deno 2.8.2 : crypto post-quantique et deno compile --bundle
Deno 2.8.2 livre ML-DSA (FIPS 204) et ML-KEM (FIPS 203) post-quantiques dans WebCrypto, plus ChaCha20-Poly1305 et SHAKE. Il ajoute un flag --bundle à deno compile (meilleure résolution des dépendances, embarquement npm limité à ce que le bundle utilise réellement), le support de node:wasi, le proxy env/globals pour node:http(s), et un kernel Jupyter réécrit en JS abandonnant zeromq. 100+ correctifs.
PostgreSQL 19 Beta 1 : autovacuum parallèle, async I/O scalable, pg_plan_advice
La première beta de PG19 est là. Ce que vous sentirez : autovacuum à workers parallèles (autovacuum_max_parallel_workers) avec un nouveau scoring de priorisation des tables ; io_method=worker s'auto-échelonne entre io_min_workers et io_max_workers ; inserts de clés étrangères plus rapides ; l'extension pg_plan_advice pour stabiliser les décisions du planner ; WAIT FOR LSN contre les lectures périmées sur réplicas ; et le support SQL/PGQ. Deux changements de défaut : JIT désactivé et RADIUS supprimé. GA prévue sept/oct.
Cloudflare Workers : Bulk Secrets API, cron Workflow et Agents SDK 0.14
Semaine chargée sur la plateforme développeur de Cloudflare. La Bulk Secrets API (3 juin) permet de créer/mettre à jour/supprimer jusqu'à 100 secrets en une seule requête — fini les scripts en boucle. Les Workflows acceptent désormais le cron direct dans wrangler.jsonc pour déclencher des instances automatiques (2 juin). Et l'Agents SDK v0.14.0 (2 juin) apporte les Agent Skills à la demande, des tâches planifiées tenant compte du fuseau, ThinkWorkflow pour le raisonnement durable et des améliorations du transport MCP.
Campagne de dependency confusion : 45 paquets npm de reconnaissance
Microsoft a documenté une campagne avec 45 paquets malveillants sur trois comptes (mr.4nd3r50n, ce-rwb, t-in-one — tous @yandex.ru, un seul opérateur selon la forensique via C2 et tokens partagés). Ils utilisent la dependency confusion : enregistrement de paquets scoped imitant les namespaces internes de 9 organisations (dont l'infra de paiement de Sberbank). Actuellement en mode reconnaissance uniquement — collecte hostname, variables d'env et contexte dev — mais l'architecture est prête pour le vol d'identifiants. Si vous avez des scopes internes, enregistrez des placeholders défensifs sur le registry public.
Tendances Notables
Le ver Miasma a muté des hooks preinstall (Red Hat, 1er juin) vers binding.gyp (Phantom Gyp, 3 juin) en 48h — les attaquants itèrent plus vite que vos scanners. Une provenance SLSA/Sigstore signée ne garantit PAS un code bénin si le pipeline lui-même est compromis.
La crypto post-quantique arrive dans les runtimes mainstream : Deno 2.8.2 expose ML-DSA et ML-KEM dans WebCrypto. Mieux vaut cartographier où vous signez/chiffrez avant que les échéances de migration NIST se resserrent.