Back

Actualizaciones Más Inteligentes de Paquetes con npm-check-updates

OpenReplay Team OpenReplay Team

Jan 18, 2026 · 4 min read

Actualizaciones Más Inteligentes de Paquetes con npm-check-updates

La deriva de dependencias mata proyectos lentamente. Te saltas algunas actualizaciones, luego algunas más, y de repente te encuentras mirando 47 paquetes desactualizados—la mitad con cambios incompatibles, algunos con vulnerabilidades de seguridad, y sin una ruta clara hacia adelante. Ejecutar npm update se siente como ruleta rusa. Las actualizaciones masivas rompen el CI. La opción segura se convierte en no hacer nada, lo cual no es seguro en absoluto.

npm-check-updates (ncu) ofrece un enfoque diferente: separar la decisión de qué actualizar del acto de instalar y probar. Esta distinción importa más de lo que la mayoría de los equipos se dan cuenta.

Puntos Clave

  • ncu modifica los rangos de versión en package.json sin tocar node_modules ni tu lockfile, dándote control sobre cuándo ocurre la instalación
  • Usa --target minor o --target patch para limitar las actualizaciones a cambios no incompatibles
  • La bandera --peer previene sugerir actualizaciones que causarían conflictos de dependencias peer
  • Siempre haz commit de package.json y package-lock.json juntos después de probar las actualizaciones
  • Usa el campo overrides de npm para forzar versiones específicas de dependencias transitivas al abordar vulnerabilidades

Por Qué las Actualizaciones Ciegas Rompen las Compilaciones

El problema central con la gestión de paquetes JavaScript no es encontrar dependencias desactualizadas—npm outdated se encarga de eso. El problema es que actualizar a “latest” ignora las restricciones de dependencias peer, los límites de semver, y la realidad de que tu lockfile existe por una razón.

Cuando ejecutas npm update, npm respeta los rangos de versión en tu package.json. No saltará de ^2.0.0 a 3.0.0 incluso si la versión 3 existe. Esto es intencional. Pero también significa que las actualizaciones genuinas que requieren cambios de rango se quedan atascadas indefinidamente.

ncu resuelve esto modificando package.json directamente—actualizando rangos de versión—sin tocar node_modules ni tu lockfile. Tú controlas cuándo ocurre la instalación.

Flujos de Trabajo Modernos de ncu para Gestión de Dependencias en Node.js

Las instalaciones globales ya no son el modelo mental predeterminado. Con ncu v18+, ejecútalo directamente a través de tu gestor de paquetes:

npx npm-check-updates
# o
pnpm dlx npm-check-updates
# o
bunx npm-check-updates

Esto verifica actualizaciones sin modificar nada. Ves lo que está disponible, codificado por colores según el nivel de semver: rojo para major, cian para minor, verde para patch.

La bandera crítica es -u, que escribe cambios en package.json. Pero esto es lo que importa: esto solo actualiza el manifiesto. Tu lockfile permanece sin cambios hasta que ejecutes explícitamente npm install.

Esta separación habilita un flujo de trabajo más seguro para actualizar dependencias:

  1. Ejecuta ncu -u --target minor para actualizar package.json con cambios no incompatibles
  2. Ejecuta npm install para regenerar el lockfile
  3. Ejecuta tu suite de pruebas
  4. Si las pruebas pasan, haz commit de package.json y package-lock.json juntos

Para actualizaciones major, manéjalas individualmente con ncu -u --filter package-name, revisa el changelog, luego prueba.

Dependencias Peer y Verificación de Compatibilidad

Los conflictos de dependencias peer causan la mayoría de fallos en actualizaciones. Una biblioteca de componentes React podría requerir React 18, pero tu proyecto fija React 17. Actualizar ciegamente la biblioteca rompe la compilación.

La bandera --peer de ncu verifica la compatibilidad de dependencias peer antes de sugerir actualizaciones. Esto previene proponer actualizaciones que fallarían inmediatamente en la instalación.

Para un control más estricto, combina esto con --target:

ncu --peer --target minor

Esto muestra solo actualizaciones que no romperán restricciones peer y no cruzarán límites de versión major.

Lockfiles e Integración con Pipelines de CI

Tu lockfile representa un estado conocido que funciona. Trátalo en consecuencia.

En CI, siempre usa npm ci en lugar de npm install. El comando ci falla si package.json y package-lock.json están desincronizados—exactamente lo que quieres. Esto detecta situaciones donde alguien actualizó package.json pero olvidó regenerar el lockfile.

Para flujos de trabajo automatizados de actualización de dependencias en CI, el patrón se ve así:

ncu -u --target patch
npm install
npm test

Si las pruebas pasan, el pipeline hace commit de los cambios. Si fallan, la actualización se marca para revisión manual.

Controlando Dependencias Transitivas con Overrides

A veces el problema no son tus dependencias directas—es de qué dependen ellas. Una vulnerabilidad tres niveles abajo en tu árbol de dependencias requiere actualizar un paquete que no controlas.

El campo overrides de npm te permite forzar versiones específicas de dependencias transitivas:

{
  "overrides": {
    "vulnerable-package": "2.0.1"
  }
}

Esto es una parte estándar de la gestión de paquetes JavaScript. Úsalo cuando necesites un parche de seguridad antes de que los mantenedores upstream actualicen sus dependencias.

Conclusión

La automatización de actualizaciones de dependencias no significa actualizar todo constantemente. Significa tener un proceso repetible que separa el descubrimiento de la instalación, respeta los límites de semver, y mantiene tu lockfile sincronizado con tu manifiesto.

ncu encaja en este flujo de trabajo porque trata las actualizaciones de package.json como un paso distinto. Tú decides qué actualizar, cuándo instalar, y cuándo probar. La herramienta maneja la parte tediosa—verificar registros y modificar rangos de versión—mientras deja las decisiones de criterio a ti.

Actualiza patches semanalmente. Revisa minors mensualmente. Maneja majors deliberadamente. Mantén tu lockfile en el repositorio. Tu CI te lo agradecerá.

Preguntas Frecuentes

npm update instala versiones más nuevas dentro de los rangos de versión existentes en tu package.json pero no cruzará límites de versión major. npm-check-updates modifica los rangos de versión en el propio package.json, permitiéndote actualizar a cualquier versión incluyendo versiones major. ncu cambia el manifiesto mientras que npm update cambia node_modules.

Sí. ncu funciona con cualquier gestor de paquetes ya que solo modifica package.json. Ejecútalo con pnpm dlx npm-check-updates o npx npm-check-updates independientemente de tu gestor de paquetes. Después de que ncu actualice tu package.json, usa tu gestor de paquetes preferido para instalar las dependencias actualizadas.

Usa la bandera reject con un nombre de paquete o patrón. Por ejemplo, ncu --reject typescript excluye TypeScript de las actualizaciones. También puedes usar ncu --reject '/react.*/' para excluir múltiples paquetes que coincidan con un patrón. Esto es útil para paquetes que quieres actualizar manualmente.

Ejecutar ncu -u solo modifica package.json sin instalar nada. El riesgo viene de ejecutar npm install después sin probar. Siempre ejecuta tu suite de pruebas después de actualizar e instalar. Comienza con actualizaciones patch usando ncu -u --target patch para el enfoque más seguro.

Understand every bug

Uncover frustrations, understand bugs and fix slowdowns like never before with OpenReplay — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.

OpenReplay

More articles from OpenReplay Blog