Node.js pasa a un major por año, arrancando con Node 27
Adiós al modelo par/impar de toda la vida: desde Node 27 (octubre 2026) hay un solo major por año, cada abril, y promoción a LTS en octubre. Lo grande: TODA release pasa a ser LTS (antes solo las pares) y la versión se alinea al año (27 → 2027, 28 → 2028). Suman un canal Alpha de seis meses con semver prerelease (27.0.0-alpha.1). Si sos library author, meté las Alpha en tu CI YA para cazar bugs antes de prod. Node 26 es la última bajo el modelo viejo.
NocoDB 2026.06.0: sync nativo e historial de versiones de documentos
El Airtable open-source soltó su release más cargada en meses: NocoDB Sync y historial de versiones de documentos. Si usás NocoDB como capa no-code sobre Postgres/MySQL, el versionado te da auditoría y rollback sin scripts caseros. Salió en la misma semana que un Weaviate 1.38 con namespaces y los parches coordinados de Redis (8.6.4/8.4.4/8.2.7).
CVE-2026-24884: la lib compressing vuelve a ser vulnerable por bypass de symlink
El parche original de la lib npm compressing usaba path.resolve(), que es puro string —nunca toca el disco ni detecta que un segmento es un symlink. El bypass (rastreado como CVE-2026-40931) deja pre-plantar symlinks vía git clone: la validación por string pasa, pero el kernel sigue el link y escribe fuera del directorio de extracción. Cero acceso previo requerido. Veneno puro en pipelines de CI/CD que clonan repos y extraen archivos automáticamente. Si dependés de compressing, actualizá YA.
GitHub Changelog: breaking changes de npm v12
El anuncio oficial con todas las flags y el plan de migración.
InfoQ: nuevo schedule de releases de Node.js
Detalle del cambio a un major por año y canal Alpha.
Tendencias Destacadas
La defensa de supply chain se mueve del «firmá todo» (SLSA) al «no ejecutes nada por default» (npm v12 con install scripts apagados). El modelo de confianza implícita en install se terminó.
Los CVEs de path traversal por symlink (compressing) muestran que validar paths con manipulación de strings es insuficiente: hay que consultar el filesystem real o extraer en sandbox.
El runtime de Node madura: un major anual y todas LTS reduce la fatiga de mantenimiento y simplifica la decisión de upgrade para equipos enterprise.
Node.js moves to one major release per year, starting with Node 27
Goodbye to the long-standing odd/even model: from Node 27 (October 2026) there is a single major per year, each April, with LTS promotion in October. The big one: every release becomes LTS (previously only even numbers), and versions align to the year (27 → 2027, 28 → 2028). A six-month Alpha channel arrives with semver prereleases (27.0.0-alpha.1). Library authors: wire Alphas into CI early to catch bugs before prod. Node 26 is the last under the old model.
NocoDB 2026.06.0: native sync and document version history
The open-source Airtable shipped its most feature-rich release in months: NocoDB Sync and document version history. If you run NocoDB as a no-code layer over Postgres/MySQL, versioning gives you audit and rollback without homegrown scripts. It landed the same week as Weaviate 1.38 with namespaces and the coordinated Redis patches (8.6.4/8.4.4/8.2.7).
CVE-2026-24884: compressing library vulnerable again via symlink bypass
The original patch for the compressing npm library used path.resolve(), pure string manipulation —it never touches disk nor detects that a segment is a symlink. The bypass (tracked as CVE-2026-40931) lets attackers pre-plant symlinks via git clone: string validation passes, but the kernel follows the link and writes outside the extraction directory. Zero prior access required. Especially dangerous in CI/CD pipelines that clone repos and extract archives automatically. If you depend on compressing, update now.
GitHub Changelog: npm v12 breaking changes
The official announcement with all flags and the migration plan.
InfoQ: Node.js new release schedule
Details of the one-major-per-year change and the Alpha channel.
Notable Trends
Supply-chain defense is shifting from «sign everything» (SLSA) to «execute nothing by default» (npm v12 with install scripts off). The implicit-trust-on-install model is over.
Symlink path-traversal CVEs (compressing) show that validating paths with string manipulation is insufficient: you must consult the real filesystem or extract in a sandbox.
The Node runtime matures: one annual major with all-LTS reduces maintenance fatigue and simplifies the upgrade decision for enterprise teams.
Node.js passe à un major par an, à partir de Node 27
Adieu le modèle pair/impair historique : dès Node 27 (octobre 2026), un seul major par an, chaque avril, avec promotion LTS en octobre. Le gros morceau : chaque release devient LTS (avant seulement les paires), et les versions s'alignent sur l'année (27 → 2027). Un canal Alpha de six mois arrive avec des prereleases semver (27.0.0-alpha.1). Auteurs de libs : branchez les Alpha sur votre CI tôt. Node 26 est le dernier sous l'ancien modèle.
NocoDB 2026.06.0 : sync natif et historique de versions de documents
L'Airtable open-source a livré sa release la plus riche depuis des mois : NocoDB Sync et historique de versions de documents. Si vous utilisez NocoDB comme couche no-code sur Postgres/MySQL, le versioning offre audit et rollback sans scripts maison. Sorti la même semaine que Weaviate 1.38 avec namespaces et les patches coordonnés de Redis (8.6.4/8.4.4/8.2.7).
CVE-2026-24884 : la lib compressing de nouveau vulnérable via bypass symlink
Le patch original de la lib npm compressing utilisait path.resolve(), pure manipulation de chaîne —ne touche jamais le disque ni ne détecte qu'un segment est un symlink. Le bypass (suivi sous CVE-2026-40931) permet de pré-planter des symlinks via git clone : la validation par chaîne passe, mais le kernel suit le lien et écrit hors du répertoire d'extraction. Aucun accès préalable requis. Particulièrement dangereux dans les pipelines CI/CD. Mettez à jour maintenant.
GitHub Changelog : changements cassants de npm v12
L'annonce officielle avec toutes les flags et le plan de migration.
InfoQ : nouveau calendrier de releases Node.js
Détails du passage à un major par an et du canal Alpha.
Tendances Notables
La défense supply chain passe du «tout signer» (SLSA) au «rien exécuter par défaut» (npm v12, install scripts off). Le modèle de confiance implicite à l'install est terminé.
Les CVE de path traversal par symlink (compressing) montrent que valider les chemins par manipulation de chaînes est insuffisant : il faut consulter le vrai filesystem ou extraire en sandbox.
Le runtime Node mûrit : un major annuel et tout en LTS réduit la fatigue de maintenance et simplifie la décision d'upgrade pour les équipes enterprise.