4 posts

#npm

2026.05.12 7 min

Mini Shai-Hulud 2nd Waveの概要と対策

2026年5月11日から発生した`@tanstack`エコシステムを中心とする「Mini Shai-Hulud」サプライチェーン攻撃の第二波について、侵害手法、被害内容、そして具体的な対策の概要を解説します。

#Security#npm#GitHub Actions

2025.12.15 6 min

npmパッケージ公開のOIDC Trusted publishingへの移行

OIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。

#npm#GitHub Actions

2023.08.29 1 min

Q. npm publishで429 Too Many Request エラーが返ってくる

npm publishで429 Too Many Request エラーが返ってくる問題について調査した結果をまとめた。

#npm

2023.04.22 3 min

Q. npm, pnpm, yarn, npxの違いを一ミリも理解していない

npm、pnpm、yarn、npxの違いを一ミリも理解していないと相談を受けた際のメモ。

#Yarn#npm#pnpm

News bits

15 件

5月22日

Deno 2.8

Deno 2.8 で複数の新しい subcommand が追加され、依存関係の監査・バージョン更新・CI 向けインストールなどの操作を専用コマンドで実行できるようになった。

5月20日

npm 11.15.0

staged publishing が追加され、`npm stage` で 2FA を「承認」まで遅延できるようになった。

4月23日

Bitwarden CLI、npm 2026.4.0 のサプライチェーン侵害

npm の @bitwarden/cli 2026.4.0 に Checkmarx 系サプライチェーン事案に絡む悪意あるビルドが短時間載った。Bitwarden は当該版を非推奨化し 2026.4.1 を出した。影響は米東部時刻 2026年4月22日 17:57〜19:30 に npm から当該版を入れたケースに限ると表明している。

4月6日

npm trusted publishing、CircleCI を OIDC プロバイダとして追加

npm trusted publishing が CircleCI を OIDC プロバイダとしてサポートした。CircleCI からの公開で長期資格情報の保管を避け、CI/CD から直接認証できる。

3月17日

Dependabot、npm依存のマルウェア検知

GitHub Advisory Database 照合による opt-in の malware アラート。CVE 系とは別カテゴリ、ルールによる絞り込み、有効化時の既存分バックフィル。現状 npm のみ。

3月3日

npmx alpha公開、npmレジストリ向けブラウザでパッケージの評価情報を一元表示

alpha公開。ダウンロード統計、install size、module format、古い依存、e18e連携のパフォーマンス推奨、JSR横断、READMEからStackBlitz等起動、19言語対応。Storybook・Chromatic・VoidZero・e18eとの連携。

2月18日

npm CLI v11.10.0リリース

min-release-ageのサポート、Git経由でのコード実行防止策、OIDC設定の一括処理を追加。

2025年12月9日

npm Classic Tokenの廃止とセッションベース認証の導入

npmのClassic Tokenが廃止され、2時間有効なセッションベースのトークンによる認証が導入された。また、Granular TokenをCLIから管理するツールも追加された。

2025年11月5日

npmセキュリティアップデート：Classic token作成無効化とgranular token変更

GitHubがnpmのセキュリティ強化の一環として、npm token管理システムの変更を実施した。

2025年7月31日

npm OIDC trusted publishing機能が一般提供開始

npmでOpenID Connect（OIDC）を使用したtrusted publishing機能が一般提供開始。CI/CDワークフローからnpmトークンを使わずにパッケージを安全に公開可能になり、長期間のトークン管理とセキュリティリスクが排除される。GitHub ActionsとGitLab CI/CDワークフローからの短期間ワークフロー固有認証情報による暗号学的信頼を確立し、trusted publishing使用時は自動でプロヴェナンス証明が生成される（--provenanceフラグ不要）。npm CLI v11.5.1以降で利用可能で、パブリック・プライベート両方のパッケージでエンタープライズグレードのセキュリティを実現。 ### 参考文献

2025年7月23日

npm Stylus削除事件で世界中のビルドが破綻

npmがStylusライブラリの全バージョンを削除し、世界中の開発者のビルドとパイプラインが停止。週300万ダウンロードを受ける人気のCSS生成ライブラリが「セキュリティホールディング」ページに置き換えられた。

2024年10月11日

Deno v2.0

Deno v2 がリリースされた。

2024年10月11日

npm v10.9.0 devEngines

npm v10.9.0 でdevEnginesフィールドが追加された。

2024年4月5日

vlt

npm に代わる新しい JavaScript のパッケージシステム「vlt」を開発している vlt technology に、npm の作者や今まで npm に関わったメンバーが参加したらしい。

2023年5月25日

Deno 1.34

Deno 1.34 がリリース。