Danny Mesa

API Security Best Practices Most API breaches happen because of broken authorization, leaked secrets, or missing rate limits. Let's look at some of the basics. - Use Modern OAuth/OIDC + MFA: PKCE for public clients, short-lived tokens, and step-up MFA for anything sensitive. Implicit and password grants should be dead by now. - Enforce Fine-Grained Authorization: Check object, function, and field-level permissions on every request. BOLA is still the top API vulnerability. - Minimize Scopes and Data: Give each client the smallest token scope and the least data it needs. Only return the fields the caller actually needs. - Encrypt Every Hop: TLS for external traffic and mTLS between services. If it crosses a network boundary, encrypt it. - Protect Secrets and Keys: Store signing keys in HSM-backed vaults. Rotate them. - Validate Requests with Schemas: Reject unknown fields, oversized payloads, and suspicious URLs at the gateway. Don't let bad input reach your business logic. - Rate Limit and Cap Resources: Quotas per user, payload size caps, and execution timeouts. Without these, one misbehaving client takes down your entire system. - Defend Sensitive Business Flows: Protect login, checkout, and OTP with anti-bot, idempotency keys, and step-up auth. - Control Outbound and Third-Party Calls: Allowlist where your API can call out to and block internal metadata endpoints. Your security is only as strong as your weakest integration. - Harden Config and Error Handling: Deny by default on CORS, methods, and debug endpoints. Return generic errors, never stack traces. - Inventory APIs and Versions: Track every endpoint, version, and shadow API. You can't secure what you don't know exists. - Log, Detect, and Respond: Push auth decisions and anomalies to a SIEM. Alert on 401 spikes before they become incidents. Over to you: Which of these best practices is the hardest to enforce across your services?

El diseño de sistemas es cada vez más importante. Lo vemos día a día: cada vez se le da menos cariño al desarrollo y los productos que van saliendo parece ser que se caen con mirarlos. Si quieres evitar que eso te pase a ti, te recomiendo echarle un ojo a este vídeo: https://t.co/zyFN9t7FaK

El CLAUDE. md de Karpathy alcanzó el #1 en las tendencias de GitHub. Más de 220,000 estrellas. La mayoría de los desarrolladores aún no lo han leído. Son 65 líneas. Llevó la precisión en la codificación con IA del 65% al 94%. Las 4 reglas dentro: -> piensa antes de codificar expón tus suposiciones. pregunta cuando no estés seguro. nunca adivines. -> simplicidad primero escribe el código mínimo que resuelva el problema. sin abstracciones que nadie pidió. -> cambios quirúrgicos no toques código no relacionado con la solicitud. cada línea cambiada debe rastrearse hasta lo que se pidió. -> ejecución orientada a metas convierte instrucciones vagas en criterios de éxito verificables antes de escribir una sola línea. eso es todo. 65 líneas. 4 reglas. 94% de precisión. guarda esto antes de que sea demasiado tarde

🏗️⚽ En el partido por el desarrollo, la infraestructura también marca goles. Entre 2022 y 2026 gestionamos 709 proyectos con una inversión de $1,8 billones, beneficiando a 5,6 millones de personas en 32 departamentos y 475 municipios. 🚧 Además, avanzamos en la construcción de 80 Puntos de Abastecimiento Solidario (#PAS) para fortalecer la soberanía alimentaria. 🏆 #ConDignidadCumplimos

🏗️⚽ En el partido por el desarrollo, la infraestructura también marca goles. Entre 2022 y 2026 gestionamos 709 proyectos con una inversión de $1,8 billones, beneficiando a 5,6 millones de personas en 32 departamentos y 475 municipios. 🚧 Además, avanzamos en la construcción de 80 Puntos de Abastecimiento Solidario (#PAS) para fortalecer la soberanía alimentaria. 🏆 #ConDignidadCumplimos

Un desarrollador chino llamado tw93 se hartó de que sus aplicaciones de escritorio le devoraran la RAM y el disco. Abría Slack y desaparecían cientos de megabytes. Abría Discord, Notion o cualquier otra app y pasaba lo mismo. ¿La razón? Casi todas son lo mismo por dentro: un sitio web empaquetado con una copia completa del motor de Chrome (Electron). Decidió que tenía que haber una forma mejor. En 2022 empezó a construir Pake. Usó Rust + Tauri, que en vez de incluir un navegador completo, aprovecha el WebView nativo del sistema operativo. El resultado fue brutal: - Slack con Pake → 8 MB (en vez de 524 MB) - Discord con Pake → 9 MB (en vez de 265 MB) - ChatGPT con Pake → 9 MB (en vez de 260 MB) Cuatro años después, su repositorio tiene más de 51.000 estrellas en GitHub. Tiene builds listos para Grok, ChatGPT, Gemini, Discord, YouTube, Twitter y muchos más. Todo bajo los 10 MB, ligero, rápido y gratis. Y lo mejor: con un solo comando puedes convertir cualquier página web en una aplicación de escritorio nativa. No fundó una startup. No levantó inversión. Solo resolvió un problema que molestaba a millones de personas. A veces el cambio real lo hace una sola persona que se cansa de las cosas como están. Esta brutal, repo en los comentarios 👇

Ahora todos hablan de Agent Loop Engineering. Cuando empecé con SDD, TDD strict y más de 30 harnesses en Gentle, no se llamaba así. Era exactamente lo que estaba construyendo. El debate de fondo es interesante. Hay quienes dicen "no hagas más prompts, dejá que el agente busque su propio trabajo y haga todo solo". Yo no confío en la IA para eso. Todavía no. No porque los loops no sirvan. Sirven, y mucho. Pero la IA es probabilística, no determinística. Cuanto más larga la cadena sin control, más probable que derive a algo que no querías. El poder no está en el loop abierto que consume infinito. Está en el loop conciso, reducido y controlado. Video en comentarios. #AI #AgenticEngineering #SoftwareEngineering

Para diseñar aplicaciones escalables, a veces has de hacer cosas que parecen contraintuitivas. La solución sencilla que funciona con 100 req/s rápidamente deja de funcionar con 10000req/s, y te dificulta el desarrollo. Uno de los mejores libros que he leído sobre este tema es DDIA, que recientemente sacó su segunda versión. Te comparto un vídeo en el que le hago un pequeño resumen! https://t.co/t85TQ3Aljh

Lo que estan logrando con Gemma4 es impresionante. Esta semana Xenova (el dev detrás de Transformers.js) usó Claude Fable 5 para crear kernels personalizados de WebGPU y lograr algo brutal: Ejecutar Gemma 4 directamente en el navegador a 255 tokens por segundo. Los kernels son código ultra-optimizado que corre en la GPU. Hoy liberaron el demo para que cualquiera lo pruebe. Esto es el futuro de ejecutar modelos locales en el browser. Pueden probarlo entrando en este sitio: https://t.co/FUDL0okrME