Coding Challenges
Inicio/Foro/Discusión
Discusión

Sugerencia sobre NPM

@kappa_cat·19/5/2026Duda

Buenas @fernando_her85,

Estaba echando un vistazo a las secciones de aprendizaje y vi la parte donde explicáis cómo instalar VS Code y empezar con los primeros proyectos. Me fijé en que los ejemplos para instalar dependencias utilizan npm.

Quería comentar, como sugerencia, si habíais valorado mencionar alternativas como pnpm en esos ejemplos para principiantes. Sobre todo por los recientes problemas relacionados con ataques a la cadena de dependencias dentro del ecosistema JavaScript, ya que mucha gente que empieza todavía no conoce este tipo de riesgos y suele ejecutar comandos sin saber muy bien qué implican.

Hace poco vi que midudev (creador de contenido en YouTube) hablaba precisamente de este tema y recomendaba pnpm como una opción más segura/interesante para nuevos proyectos.

Simplemente pensé que quizá podría ser útil para la gente nueva que llegue a la plataforma y sean nuevos en la programación. 🙂

Y gracias también por el trabajo que hacéis con la web, es estupendo y le estoy dando mucho uso.

2respuestas
Respuestas
@fernando_her8519/5/2026

Saludos @kappa_cat

Yo estoy de acuerdo que pnpm actualmente es mas seguro, y si, sería bueno, pero npm es la opción por defecto y no quiero añadir más fricción a las personas que vienen empezando. (Sin contar que es muy usado)

Luego alguien dice que mejor usemos Bun (qué es más rápido que pnpm) e igualmente seguro imagen source: https://bun.com/

Pero esto cambia constantemente, y puede que npm regrese a ser igualmente seguro en un tiempo... pero entiendo tu punto de vista, (de hecho para CodingChallenges todo esta en pnpm).

Y claro que conozco a Midu, de hecho hemos hecho colaboraciones en línea y presenciales un par de veces ya y le agradezco un montón la labor que hace de socializar estos temas de seguridad. imagen

@kappa_catAutor19/5/2026

@fernando_her85 Me parece genial y totalmente lícito puesto que igual que muchos, yo cuando empecé también lo hice con npm.

Solo que como vi el video de midu donde explica la vulnerabilidad que tuvo TanStack en al que al hacer npm install puedes acabar agregando un paquete con un comando post-install que ejecuta un malware, quería aportar mi granito de arena al comunicarlo. Tambien podría funcionar un simple mensaje de advertencia para el lector.

De todas formas muchas gracias por la rápida respuesta y por el tiempo invertido en leer el post y contestarlo. Y sobretodo por tener este sitio tan bien cuidado! 😊

Escribir un comentario

Debes iniciar sesión para publicar un comentario.