JSer.info #768 - TypeScript 6.0がリリースされました。

• Announcing TypeScript 6.0 - TypeScript

現在のJavaScriptコードベースによる最後のリリースで、Goで書き直されたTypeScript 7.0への移行を準備するリリースとなっています。strictがデフォルトでtrueに、targetのデフォルトがes2025に、moduleのデフォルトがesnextに変更されています。target: es5や--moduleResolution node(node10)、--outFileなどが非推奨となりエラーに変更されました。新しい機能として、es2025ターゲットの追加、Temporal APIの型定義、Map/WeakMapのgetOrInsert()/getOrInsertComputed()メソッドの追加、TypeScript 7.0の型順序に合わせる--stableTypeOrderingフラグの追加などが含まれています。

ECMAScript 2026のRelease Candidateが公開されました。

• Release ES2026 Candidate March 31st 2026 · tc39/ecma262

TC39によって2026年3月に承認され、2026年6月のEcma General Assemblyでの承認を経て正式リリースとなる予定です。ES2026には、Array.fromAsync、JSON.parse source text access、Iterator Sequencing、Uint8ArrayのBase64変換、Math.sumPrecise、Error.isError、Upsert(Map.prototype.getOrInsert)などが含まれる予定です。

axiosのnpmパッケージに対するサプライチェーン攻撃が発生しました。

• axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity
• Attackers Are Hunting High-Impact Node.js Maintainers in a C...
• The Hidden Blast Radius of the Axios Compromise - Socket

ソーシャルエンジニアリングによりメンテナーアカウントが乗っ取られ、悪意のある[email protected]と[email protected]が公開されました。これらのバージョンにはplain-crypto-jsというマルウェアが依存関係として追加されており、postinstallフックを通じてmacOS/Windows/Linux向けのRemote Access Trojan(RAT)をインストールする仕組みになっていました。

影響を受けたかどうかの確認方法は次のページにまとめられています。

• Am I affected? - StepSecurity

JSer.infoをサポートするには

• 😘 知り合いにJSer.infoをおすすめする
• ❤️ GitHub Sponsorsで@azuのスポンサーになる
• 🐦 X(Twitter)で@jser_infoをフォローする

JSer.info Sponsors

JSer.info SponsorsはGitHub SponsorsとしてJSer.infoを支援してくれている方々です。

ヘッドライン

Announcing TypeScript 6.0 - TypeScript

devblogs.microsoft.com/typescript/announcing-typescript-6-0/

TypeScript ReleaseNote

TypeScript 6.0リリース。
現在のJavaScriptコードベースによる最後のリリースで、Goで書き直されたTypeScript 7.0への移行を準備するリリースとなる。
strictがデフォルトでtrueに、targetのデフォルトがes2025に、moduleのデフォルトがesnextに変更。
target: es5、--moduleResolution node(node10)、--outFile、--esModuleInterop falseなどが非推奨となりエラーに変更。
es2025ターゲットの追加、Temporal APIの型定義の追加、Map/WeakMapのgetOrInsert()/getOrInsertComputed()メソッドの追加。
Node.jsのSubpath Importsの#/のサポート、--moduleResolution bundlerと--module commonjsの組み合わせをサポート。
TypeScript 7.0の型順序に合わせる--stableTypeOrderingフラグの追加など

WebKit Features for Safari 26.4 | WebKit

webkit.org/blog/17862/webkit-features-for-safari-26-4/

safari browser CSS WebTransport WebAuthentication ReleaseNote

Safari 26.4リリース。
CSS Grid Lanesによるmasonry/ウォーターフォールスタイルのレイアウトのサポート、名前のみの@containerクエリのサポート。
font-size: mathとmath-depthプロパティのサポート。
CSS Zoomの修正、Scroll-driven Animationsのパフォーマンス改善。
WebTransportのサポート、Keyboard Lock APIのサポート、ReadableByteStreamのサポート。
Scoped Custom Element Registriesの改善、Iterator.concat()のサポート。
<img>のsizes属性でのmath関数(min()/max()/clamp())のサポート、SVGのlighter合成演算子のサポート。
WebAuthnのPRF拡張のサポートなど。

Release v20.0.0 · raineorshine/npm-check-updates

github.com/raineorshine/npm-check-updates/releases/tag/v20.0.0

npm Tools ReleaseNote

npm-check-updates v20.0.0リリース。
npm/yarn/pnpmの設定にあるminimum release ageの設定を自動的に読み取り、cooldownオプションとして適用するようになった。

Release ES2026 Candidate March 31st 2026 · tc39/ecma262

github.com/tc39/ecma262/releases/tag/es2026-candidate-2026-03-31

ECMAScript spec ReleaseNote

ECMAScript 2026のRelease Candidateが公開された。
TC39によって2026年3月に承認され、2026年6月のEcma GAでの承認を経て正式リリースとなる予定。

Release v15.0.0 · sindresorhus/got

github.com/sindresorhus/got/releases/tag/v15.0.0

nodejs HTTP library ReleaseNote

Got v15.0.0リリース。
Node.js 22未満のサポートを削除、
promise.cancel()を削除しAbortControllerのsignalオプションに移行、isStreamオプションの削除。
responseType: 'buffer'がBufferの代わりにUint8Arrayを返すように変更。
ネイティブのFormData APIを利用するように変更、strictContentLengthのデフォルトをtrueに変更。
RFC 9110に準拠し300/304レスポンスの自動リダイレクトを廃止など

Release 4.18.0 · lodash/lodash

github.com/lodash/lodash/releases/tag/4.18.0

lodash JavaScript library security ReleaseNote

lodash 4.18.0リリース。
_.unsetと_.omitのPrototype Pollutionの脆弱性を修正、_.templateのコードインジェクションの修正。
lodash.unsetやlodash.templateなどの個別パッケージが古いままだったのを修正して再公開。

Node.js — Node.js 25.9.0 (Current)

nodejs.org/en/blog/release/v25.9.0

nodejs ReleaseNote

Node.js v25.9.0リリース。
テストランナーのモックモジュールAPIでdefaultExportとnamedExportsオプションをexportsオプションに統合。
--max-heap-sizeフラグの追加、Web CryptoでTurboSHAKEとKangarooTwelveアルゴリズムのサポート。
SEA(Single Executable Applications)でESMエントリポイントのコードキャッシュをサポート、実験的なstream/iterモジュールの追加。
AsyncLocalStorageにusingスコープの追加、REPLでのカスタムエラーハンドリングのサポートなど。

Release v5.0.0 · lerna-lite/lerna-lite

github.com/lerna-lite/lerna-lite/releases/tag/v5.0.0

monorepo Tools ReleaseNote

lerna-lite v5.0.0リリース。
Node.js 20のサポート終了、Conventional Changelogのレガシー設定ファイル読み込みの削除、--remove-package-fieldsオプションの削除。
内部依存を自前の実装に置き換えることでインストールサイズを削減など

アーティクル

Storybook MCP for React

storybook.js.org/blog/storybook-mcp-for-react/

storybook MCP React article

Storybook MCPサーバについて。
AIエージェントに既存のUIコンポーネントのメタデータ(ストーリー、API、ドキュメント)を提供するMCPサーバ。
複数のStorybookを組み合わせて使うCompositionにも対応している。
MCP Appsに対応して、チャットのレスポンスに直接Storyを埋め込めるようになっている。

Node.js — Security Bug Bounty Program Paused Due to Loss of Funding

nodejs.org/en/blog/announcements/discontinuing-security-bug-bounties

nodejs security article

Node.jsのセキュリティバグバウンティプログラムの一時停止について。
2016年からHackerOneのInternet Bug Bounty(IBB)プログラムを通じて運用されていたが、IBBプログラムの終了により資金が枯渇したため一時停止となった。
資金の80%を発見、20%を修正へ割り当てているが、AIなどによる発見の拡大によりバランスが変わった。
脆弱性の報告自体はHackerOneを通じて引き続き受け付けるが、報告者への金銭的な報酬はなくなる。専用の資金が確保できた場合にプログラムの再開を検討する予定

Signals, the push-pull based algorithm — Willy Brauner

willybrauner.com/journal/signal-the-push-pull-based-algorithm

JavaScript article

Signalにおけるpush-pullベースのリアクティブアルゴリズムについての解説記事。
Signalの基本的な仕組みとして、値の変更時にサブスクライバーへ通知するPush型と、計算値を実際にアクセスされるまで遅延評価するPull型の組み合わせについて解説している。

Core JavaScript and TypeScript Features Become Free in IntelliJ IDEA | The IntelliJ IDEA Blog

blog.jetbrains.com/idea/2026/03/js-ts-free-support/

JetBrains IDE JavaScript TypeScript

IntelliJ IDEA v2026.1で、JavaScript/TypeScript/HTML/CSSのコア機能が無料で利用可能に。
これまでUltimate版のみで提供されていたWeb開発向けの機能が、Community Editionでも利用できるようになった。
JS/TSのコード補完やリファクタリング、ESLint/Prettierの統合、Viteでのプロジェクト作成、npmスクリプトの実行、依存関係の脆弱性検出などが含まれる。

axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity

www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

npm security article

axiosのnpmパッケージに対するサプライチェーン攻撃について。
ソーシャルエンジニアリングによりメンテナーアカウントが乗っ取られ、悪意のある[email protected]と[email protected]が公開された。
これらのバージョンにはplain-crypto-jsというマルウェアが依存関係として追加されている。
postinstallフックを通じてmacOS/Windows/Linux向けのRemote Access Trojan(RAT)をインストールする仕組みになっていた。

• Attackers Are Hunting High-Impact Node.js Maintainers in a C...
• The Hidden Blast Radius of the Axios Compromise - Socket

サイト、サービス、ドキュメント

Introducing EmDash — the spiritual successor to WordPress that solves plugin security

blog.cloudflare.com/emdash-wordpress/

cloudflare CMS TypeScript astro security OpenSource wordpress

CloudflareによるサーバーレスCMS。
TypeScriptで書かれ、Astro 6.0をベースにしたオープンソース(MITライセンス)のCMS。
プラグインを独立したサンドボックス環境(Dynamic Workers)で実行し、プラグイン起因のセキュリティ問題を解決するアーキテクチャを採用している。
MCPやCLIによるAIエージェント連携、x402プロトコルによる決済統合などの機能も備えている。

vercel-labs/emulate: Local API emulation for CI and no-network sandboxes

github.com/vercel-labs/emulate

vercel API testing CI Tools nodejs server

Vercel/GitHub/Google/Slack/AWS(S3/SQS)などのAPIをローカルでエミュレートするツール。
外部APIのモックサーバとして利用できる。
各サービスはステートフルにデータを保持し、OAuth 2.0フローやWebhookにも対応している。

ソフトウェア、ツール、ライブラリ関係

ArrowJS — The first UI framework for the agentic era

arrow-js.com/

JavaScript TypeScript WebAssembly library

ビルドステップなしで動作する軽量なUIフレームワーク。reactive、html、componentの3つの関数で構成される。
AI向けにWebAssemblyサンドボックス内でコンポーネントロジックを分離して実行する機能を持つ。

書籍関係

React本格入門 | 技術評論社

gihyo.jp/book/2026/978-4-297-15523-0

React book

2026年4月15日発売。
React 19をベースにした入門書。