Una dependencia nueva llega en tres minutos — npm install, reinicia el dev server, escribe el import. El coste es invisible en el momento de elegir y evidente sólo en el tercer año, cuando la persona mantenedora se ha ido, llega el breaking change y el log de auditoría dice que fuiste tú quien la añadió.
Puntuamos cada dependencia candidata en cinco ejes antes de añadirla: número de mantenedores, edad del proyecto, descargas semanales, breaking changes por año, y si podríamos escribirla nosotras en menos de una tarde. La regla es directa: si uno de los cinco no pasa el listón, la escribimos nosotras.
Añadir una librería parece gratis. Mantenerla los próximos cuatro años no.
El coste de escribirla nosotras es una tarde y un archivo de 40 líneas con un test. El coste de tomar la dependencia es una tarde ahora, más un miércoles de 2027 leyendo una guía de migración, más un fin de semana de 2028 reescribiendo alrededor de una deprecación. Hacemos este ejercicio en voz alta en comentarios de pull-request y hemos rechazado dos propuestas nuestras este trimestre.
Hay una excepción: las primitivas criptográficas. Nunca las escribiremos nosotras. Para todo lo demás, la pregunta es si tu equipo puede sostener el contrato durante la vida del sistema. Si la respuesta es no, la respuesta es no.