TL;DR
Aikido comprueba si una actualización de dependencias contiene cambios importantes y muestra qué ha cambiado. A continuación, analiza el código base para determinar si esos cambios realmente afectan a tu código base. Los equipos obtienen respuestas claras antes de fusionar una corrección de seguridad.
Consulta la documentación aquí.
Por qué son importantes los cambios importantes
Todos sabemos que los desarrolladores quieren mantener el flujo de trabajo, pero los problemas de seguridad a menudo los sacan de él. No solo porque interrumpen la concentración, sino porque introducen incertidumbre sobre qué hacer a continuación. Los desarrolladores se ven abrumados por las alertas, pero si no saben si su código es seguro para fusionar o si la biblioteca es segura para actualizar, a menudo evitan tomar medidas por completo.
Y eso se nota: el 65 % de los desarrolladores, ingenieros de seguridad y líderes afirmaron haber eludido controles de seguridad, descartado hallazgos o retrasado correcciones debido al cansancio y la falta de confianza en los hallazgos, según el informe «State of AI in Security & Development» (Estado de la IA en seguridad y desarrollo) de 2026 Aikido.
Aikido tiene como objetivo devolverles esa confianza a los desarrolladores. Una de las formas en que lo hacemos es a través de dos funciones complementarias para las dependencias de código abierto: Cambios importantes y Análisis del impacto de las actualizaciones.
Los desarrolladores no quieren que se les diga que deben realizar una corrección sin entender por qué. También quieren saber cuáles son los efectos secundarios de dicha acción: ¿podría, por ejemplo, dañar su aplicación?
Este es precisamente el tipo de incertidumbre que inquieta a los desarrolladores.
Visibilidad de los cambios importantes
Proporcionar contexto desde el principio, en lugar de aumentar la carga cognitiva de los desarrolladores, es la esencia de la función de cambios importantes.
Antes de fusionar una actualización, Aikido analiza el registro de cambios para determinar si introduce cambios importantes. Cada actualización se clasifica en una de estas tres categorías: sin problemas, cambios importantes evidentes o validación manual necesaria.
1. Todo despejado.
Si no hay cambios importantes, la actualización se marca claramente como segura.
Los desarrolladores pueden entonces estar seguros de seguir adelante con la corrección.
El problema de dependencia muestra la versión mínima necesaria para solucionarlo. En el siguiente ejemplo de Spring Security, queda claro que el CVE se solucionará actualizando a la versión 6.1.2.
La actualización está claramente marcada como segura, con el registro de cambios correspondiente vinculado para su verificación, lo que garantiza a los desarrolladores que nada se estropeará cuando se aplique la actualización.
2. Aparecen cambios importantes.
Si hay cambios importantes que afectan a tu aplicación, Aikido lo señalará.
Los cambios importantes se resumen directamente junto con la actualización.
In this example, Tomcat may have previously allowed requests with slightly malformed headers, or those that had a missing <host> header, or even conflicting host information. The new version rejects those requests with a 400 Bad Request by default.
La actualización no modifica el código de la aplicación, pero puede interrumpir las interacciones con clientes heredados o herramientas internas que envían ese tipo de solicitudes, junto con otros casos extremos.
En su lugar, pueden actualizar inmediatamente, sabiendo que no existen clientes heredados y que todo el tráfico pasa por proxies bien configurados, o bien pueden realizar pruebas antes de la fusión, programar la actualización para un sprint en el que el trabajo de infraestructura tenga más sentido, o incluso actualizar para la corrección CVE, pero relajando temporalmente la configuración estricta.
3. Se requiere validación manual.
Si no existe un registro de cambios, esa incertidumbre se hace explícita.
Esto proporciona al desarrollador transparencia, ya que no hay pruebas que indiquen si se han producido cambios importantes. Esto podría deberse a que el responsable del mantenimiento no ha documentado los cambios importantes o a un mantenimiento deficiente del proyecto. Cuando no hay un registro de cambios disponible, la actualización es más arriesgada, lo que indica a los desarrolladores que deben validar la actualización manualmente.
Presentación del análisis del impacto de la actualización
Identificar los cambios importantes es solo la mitad del trabajo.
El análisis del impacto de la actualización va más allá al analizar el código base para determinar si esos cambios se aplican realmente. El análisis se ejecuta automáticamente como parte de la solicitud de extracción.
En el ejemplo siguiente, la actualización de Mongoose introduce dos cambios importantes. La solicitud de extracción identifica los archivos y las líneas exactas que dependen del comportamiento obsoleto, explica qué ha cambiado y describe lo que hay que actualizar.
Aikido muestra lo que normalmente requeriría leer las notas de la versión y rastrear los usos directamente en la solicitud de extracción.
Actualizar una dependencia no debería requerir conjeturas. Cuando el efecto de un cambio es claro, los equipos pueden avanzar sin dudarlo (y es más probable que se fusionen las correcciones de seguridad).
Los cambios importantes y el análisis del impacto de las actualizaciones están disponibles para proyectos JavaScript, Python, Java (incluidos Kotlin y Scala), Go, .NET, PHP y Clojure.
