Homebrew 6.0: confianza explícita para la supply chain del dev
Homebrew 6.0 añade tap trust, sandbox en Linux, brew vulns y mejoras de Brewfile. Laptops y CI deben tratarse como superficie de supply chain.
Supply-chain read
Riesgo: fatiga de aprobación y scripts bootstrap rotos. Si solo usas taps oficiales, el cambio visible será menor.
What happened
Homebrew 6.0.0 llegó el 11 de junio de 2026 con tap trust, JSON API por defecto, sandboxing en Linux, mejoras de brew bundle, rendimiento y soporte inicial de macOS 27.
Why it matters
Un tap puede contener formulae, casks y comandos. Los taps de terceros pueden ejecutar Ruby, así que la confianza debe revisarse como política de equipo.
Community signal
La comunidad muestra fricción por Intel Mac y por el UX de trust. Los flujos de uninstall y cleanup prueban que la confianza no es solo de instalación.
Checklist
Checklist: inventariar taps, preferir trust específico, revisar Brewfile en PR, probar CI ante prompts, ejecutar brew vulns periódicamente.
Risks
Riesgo: fatiga de aprobación y scripts bootstrap rotos. Si solo usas taps oficiales, el cambio visible será menor.
Team policy map
| Area | Decision | Why |
|---|---|---|
| Taps | Official, internal, or third-party | A tap can execute code on developer machines. |
| Brewfile | Reviewed environment state | Bootstrap is part of supply chain control. |
| Linux CI | Sandbox canary | Source builds may assume filesystem or network access. |
| Audit | brew vulns plus scanner policy | Workstation risk needs a lightweight signal. |
Checklist
• Checklist: inventariar taps, preferir trust específico, revisar Brewfile en PR, probar CI ante prompts, ejecutar brew vulns periódicamente.