JSer.info #772 - pnpm 11.1から11.3にかけて、サプライチェーンセキュリティに関する機能が多数追加されています。

• Release pnpm 11.1 · pnpm/pnpm
• Release pnpm 11.1.3 · pnpm/pnpm
• pnpm 11.3 | pnpm

pnpm 11.1ではレジストリ署名を検証するpnpm audit signaturesコマンドが追加され、11.1.3ではインストール時にlockfileのエントリをminimumReleaseAgeで再検証する仕組みとminimumReleaseAgeStrictモードが導入されています。11.3ではStaged Publishing用のpnpm stageコマンドと、信頼済みのlockfile検証をスキップするtrustLockfile設定が追加されています。

npm CLI v11.15.0がリリースされました。

• Release v11.15.0 · npm/cli

Staged Publishingのためのnpm stageコマンドが追加されました。Staged Publishingは、パッケージの公開前に承認ステップを追加する仕組みで、ステージングへ送信した後にメンテナーが2FAで承認してからレジストリに公開されます。また、インストール時の挙動を制御するallow-git/allow-file/allow-directory/allow-remoteの設定が追加されています。

• Staged publishing for npm packages

Deno 2.8がリリースされました。

• Deno 2.8 | Deno

deno audit fix、deno bump-version、deno ci、deno pack、deno transpile、deno whyなどの新しいサブコマンドが追加されています。Node.js互換性のテストスイート合格率が42%から76.4%に改善し、Stage 3のimport deferを実装しています。また、CLIでnpm:プレフィックスが不要になり、catalog:プロトコルでモノレポの依存バージョンを一元管理できるようになっています。

JSer.infoをサポートするには

• 😘 知り合いにJSer.infoをおすすめする
• ❤️ GitHub Sponsorsで@azuのスポンサーになる
• 🐦 X(Twitter)で@jser_infoをフォローする

JSer.info Sponsors

JSer.info SponsorsはGitHub SponsorsとしてJSer.infoを支援してくれている方々です。

ヘッドライン

Release v1.60.0 · microsoft/playwright

github.com/microsoft/playwright/releases/tag/v1.60.0

playwright ReleaseNote

playwright v1.60.0リリース。
破壊的な変更として、Locator.ariaRef()、bindingsのhandleオプション、videosPath/videoSizeなどのdeprecatedなAPIを削除。
tracing.startHar()/tracing.stopHar()でHAR記録をサポート、外部からのドラッグ&ドロップをシミュレートするlocator.drop()の追加。
expect(page).toMatchAriaSnapshot()をPageに対して利用できるように、boxesオプションで境界ボックス情報を含められるように。
テストを中断するtest.abort()、browser.on('context')イベントとBrowserContextのライフサイクルイベントの追加など

Release pnpm 11.1 · pnpm/pnpm

github.com/pnpm/pnpm/releases/tag/v11.1.0

pnpm ReleaseNote

pnpm v11.1.0リリース。
レジストリ署名を検証するpnpm audit signaturesコマンド、namedRegistriesによるレジストリのプレフィックス指定(gh:@acme/privateなど)のサポート。
pnpm bugs/pnpm ownerコマンドの追加。
SBOMの仕様バージョンを指定する--sbom-spec-version、ランタイムのインストールをスキップする--no-runtimeフラグの追加など。

Release vite-plus v0.1.21 — Create, Migrate & Local CLI Power-Up · voidzero-dev/vite-plus

github.com/voidzero-dev/vite-plus/releases/tag/v0.1.21

vite CLI Tools ReleaseNote

vite-plus v0.1.21リリース。
vp pmコマンドがローカルCLIで動作するようになり、vp migrateはnamed catalogsの書き換えやtsdown/clientのインポートと型設定の移行に対応。
vp createは@org形式のスコープ付きテンプレートをサポート。
Nushellへの対応、vp pm pluginのyarnサポート、--provenanceフラグ、Windowsの.cmdシム経由のPowerShell実行などを追加。
pnpm v11+での--ignore-scripts自動付与、vite-plus/pack/clientの追加など

Bun v1.3.14 | Bun Blog

bun.com/blog/bun-v1.3.14

Bun ReleaseNote

Bun v1.3.14リリース。
画像のリサイズ/回転/フォーマット変換に対応した画像処理API Bun.Imageを追加。
Bun.serve()がHTTP/3 over QUICに対応、fetch()が実験的にHTTP/2とHTTP/3プロトコルをサポート。
isolated linkerのglobalStoreオプションを追加、親プロセス終了時にBunプロセスツリーを終了する--no-orphansフラグの追加。
Node.js v24互換のprocess.execve()、WindowsでのBun.Terminal(ConPTY)、FreeBSD/Androidの公式ビルド提供など

Release pnpm 11.1.3 · pnpm/pnpm

github.com/pnpm/pnpm/releases/tag/v11.1.3

pnpm ReleaseNote

pnpm v11.1.3リリース。
インストール時にpnpm-lock.yamlのエントリをminimumReleaseAgeとtrustPolicyで再検証するように変更とminimumReleaseAgeStrictモードの追加。
pnpm self-updateがminimumReleaseAgeを尊重するように変更、NODE_AUTH_TOKEN未設定時のOIDC認証失敗などを修正。

Node.js — Node.js 26.2.0 (Current)

nodejs.org/en/blog/release/v26.2.0

nodejs ReleaseNote

Node.js 26.2.0リリース。
fs.StatsとBigIntStatsがTemporal.Instantをサポート、HTTPのwriteInformationメソッドで任意の1xxステータスコードを送信できるよう。
stream.composeがStableへ変更、Web Cryptography APIにML-DSA/ML-KEM/ChaCha20-Poly1305などのアルゴリズムを追加など

Release v11.15.0 · npm/cli

github.com/npm/cli/releases/tag/v11.15.0

npm CLI ReleaseNote

npm CLI v11.15.0リリース。
Staged Publishingのためのnpm stageコマンドを追加、trustコマンドにpermissionsサポートを追加。
インストール時の挙動を制御するallow-git/allow-file/allow-directory/allow-remoteの設定を追加。

• Staged publishing for npm packages

Release @apollo/[email protected] · apollographql/apollo-client

github.com/apollographql/apollo-client/releases/tag/%40apollo%2Fclient%404.2.0

JavaScript library ReleaseNote GraphQL

Apollo Client 4.2.0リリース。
hookやメソッドのシグネチャに、defaultOptionsを反映する"modern"スタイルを追加。
RefetchEventManagerクラスを追加し、windowのfocusやネットワーク再接続などのイベントに応じたクエリの自動再取得をサポート。
client.query/client.mutate/useMutation/preloadQueryの戻り値の型にdefaultOptionsを反映するように改善。

pnpm 11.3 | pnpm

pnpm.io/blog/releases/11.3

pnpm ReleaseNote

pnpm 11.3リリース。
Staged Publishing用のpnpm stageコマンド、信頼済みのlockfileの検証をスキップするtrustLockfile設定の追加。
pnpm pkg/pnpm repo/pnpm set-scriptをネイティブ実装に置き換え、pnpm publishに--skip-manifest-obfuscationフラグを追加など

Deno 2.8 | Deno

deno.com/blog/v2.8

deno ReleaseNote

Deno 2.8リリース。
deno audit fix/deno bump-version/deno ci/deno pack/deno transpile/deno whyなどの新しいサブコマンドを追加。
Node.js互換性のテストスイート合格率が42%から76.4%に改善、Stage 3のimport deferを実装。
CLIでnpm:プレフィックスが不要に、catalog:のサポート、--os/--archフラグでクロスプラットフォームインストールに対応。
OffscreenCanvasやDOMPointなどのWeb APIを追加、Chrome DevToolsでのネットワークデバッグやCPUプロファイリングをサポート。

アーティクル

Postmortem: TanStack npm supply-chain compromise | TanStack Blog

tanstack.com/blog/npm-supply-chain-compromise-postmortem

TanStack npm security Actions article

2026年5月11日に発生したTanStackのnpmパッケージに対するサプライチェーン攻撃のポストモーテム。
pull_request_targetワークフローの設定不備、GitHub Actionsのキャッシュポイズニングを組み合わせた攻撃手法について。
フォークからのPRで実行されたコードがpnpmのキャッシュを汚染し、後のリリースワークフローで悪意のあるバイナリが復元された。
/proc/経由でランナープロセスのメモリからOIDCトークンを抽出してnpm publishに利用された。
対策としてpull_request_targetを使うワークフローの監査、サードパーティActionのコミットハッシュ固定などを挙げている。

9 Times the Web Platform Was Influenced by Libraries | Jad Joubran

jadjoubran.io/blog/web-platform-influenced-by-libraries

WebPlatformAPI JavaScript library history article

WebプラットフォームのネイティブAPIがライブラリから受けた影響を9つの事例で紹介する記事。
jQuery/SizzleのCSSセレクタがquerySelectorに、Bootstrapのdata-toggleがpopovertarget/command属性に。
jQueryの.addClass()がclassListへ、Lodash/UnderscoreのメソッドがString/Arrayのメソッドに。
さらにstructuredClone、Promises/A+の標準化、ES Modulesの設計。
Moment.jsの課題からTemporal API、jQueryの.closest()からElement.closest()の流れなどについて。

Node.js — Axios to WHATWG Fetch

nodejs.org/en/blog/migrations/axios-to-fetch

nodejs Fetch HTTP article

AxiosからNode.js Fetch APIへの移行ガイド。
Node.js v18.0.0以降を前提に、axios.get()/axios.post()/axios.put()/axios.delete()やフォーム送信などのコード変換例を解説している。
インターセプターやキャンセルトークンなどの一部機能は未対応である点についても解説されている

Introducing Secure Registry: install-time defense for the npm supply chain - StepSecurity

www.stepsecurity.io/blog/introducing-secure-registry-install-time-defense-for-the-npm-supply-chain

npm security article

StepSecurityによるnpmサプライチェーン攻撃に対するインストール時の防御を行うProxy型のレジストリサービス。
レジストリへのパッケージ取得要求をプロキシで評価し、新規公開からの一定期間ブロックするクールダウン期間、危険なパッケージのブロック、タイポスクワッティング対策などの機能を提供する。
ローカルの開発環境、CI/CDパイプラインなどでの利用を想定している。

nkzw-tech/fate: fate is a modern data client for React.

github.com/nkzw-tech/fate

React library TypeScript GraphQL

Reactのデータクライアントライブラリ。
Relay/GraphQLの設計から影響を受けて、コンポーネントごとにviewでデータを宣言し、正規化キャッシュとデータマスキングを提供する。
Async React(Actions/Suspense/use)に対応し、ページネーション、Optimistic Updates、Server-Sent Eventsでの更新のサポート。
バックエンドとしてGraphQL/tRPC/Prisma/Drizzleに対応している。

Announcing Web Serial Support in Firefox - Mozilla Hacks - the Web developer blog

hacks.mozilla.org/2026/05/web-serial-support-in-firefox/

Firefox browser WebAPI Mozilla

Firefox 151でWeb Serial APIをサポート。
Web Serial APIはJavaScriptからシリアルデバイスを読み書きするAPIで、USBやBluetoothで接続したマイコン、3Dプリンター、スマートメーターなどに直接アクセスできる。
ユーザーが明示的に許可したポートのみアクセス可能で、サイトandポートごとに権限を管理できる。

ソフトウェア、ツール、ライブラリ関係

tmikov/hermes-node: Node.js built-in module compatibility layer for the Hermes JS engine

github.com/tmikov/hermes-node

nodejs JavaScript TypeScript library

HermesをベースにしたNode.js互換のJavaScript/TypeScriptランタイム。
TypeScriptファイルを直接実行でき、Chrome DevToolsプロトコルに対応したデバッガを内蔵している。
fs/http/net/path/streamなどのNode.jsコアモジュールは、Node.js内部のJS実装をそのまま利用する。