#npm
RSSフィードOIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。
All Posts
npmパッケージ公開のOIDC Trusted publishingへの移行
OIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。
Q. npm publishで429 Too Many Request エラーが返ってくる
npm publishで429 Too Many Request エラーが返ってくる問題について調査した結果をまとめた。
Q. npm, pnpm, yarn, npxの違いを一ミリも理解していない
npm、pnpm、yarn、npxの違いを一ミリも理解していないと相談を受けた際のメモ。
News bits
Dependabot、npm依存のマルウェア検知
GitHub Advisory Database 照合による opt-in の malware アラート。CVE 系とは別カテゴリ、ルールによる絞り込み、有効化時の既存分バックフィル。現状 npm のみ。
npm CLI v11.10.0リリース
min-release-ageのサポート、Git経由でのコード実行防止策、OIDC設定の一括処理を追加。
npm Classic Tokenの廃止とセッションベース認証の導入
npmのClassic Token(レガシーな認証トークン)が完全に廃止された。既存のClassic Tokenはすべて無効化され、使用・再作成・復元ができなくなった。 これに伴い、npm loginは2時間有効なセッションベースのトークンを発行するようになった(UIやCLIトークンリストには表示されない)。パブリッシュ操作時には2要素認証(2FA)が強制される。
npmセキュリティアップデート:Classic token作成無効化とgranular token変更
GitHubがnpmのセキュリティ強化の一環として、npm token管理システムの変更を実施した。
npm OIDC trusted publishing機能が一般提供開始
npmでOpenID Connect(OIDC)を使用したtrusted publishing機能が一般提供開始。CI/CDワークフローからnpmトークンを使わずにパッケージを安全に公開可能になり、長期間のトークン管理とセキュリティリスクが排除される。GitHub ActionsとGitLab CI/CDワークフローからの短期間ワークフロー固有認証情報による暗号学的信頼を確立し、trusted publishing使用時は自動でプロヴェナンス証明が生成される(--provenanceフラグ不要)。npm CLI v11.5.1以降で利用可能で、パブリック・プライベート両方のパッケージでエンタープライズグレードのセキュリティを実現。 ### 参考文献
npm Stylus削除事件で世界中のビルドが破綻
npmがStylusライブラリの全バージョンを削除し、世界中の開発者のビルドとパイプラインが停止。週300万ダウンロードを受ける人気のCSS生成ライブラリが「セキュリティホールディング」ページに置き換えられた。
Deno v2.0
Deno v2 がリリースされた。
npm v10.9.0 devEngines
npm v10.9.0 でdevEnginesフィールドが追加された。
vlt
npm に代わる新しい JavaScript のパッケージシステム「vlt」を開発している vlt technology に、npm の作者や今まで npm に関わったメンバーが参加したらしい。
Deno 1.34
Deno 1.34 がリリース。
著者について
Hi there. I'm hrdtbs, a frontend expert and technical consultant. I started my career in the creative industry over 13 years ago, learning on the job as a 3DCG modeler and game engineer in the indie scene.
In 2015 I began working as a freelance web designer and engineer. I handled everything from design and development to operation and advertising, delivering comprehensive solutions for various clients.
In 2016 I joined Wemotion as CTO, where I built the engineering team from the ground up and led the development of core web and mobile applications for three years.
In 2019 I joined matsuri technologies as a Frontend Expert, and in 2020 I also began serving as a technical manager supporting streamers and content creators.
I'm so grateful to be working in this field, doing something that brings me so much joy. Thanks for stopping by.