{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreidkz7cl7mpfhhxyxzn4rh6zsfayp5z2jfelsbnte77hgatz4bpznu",
"uri": "at://did:plc:eiec7xv3yvni72ic6fquz3ik/app.bsky.feed.post/3mmns27aufxc2"
},
"path": "/2026/05/25/pnpm-11.111.3-npm-cli-v11.15.0-deno-2.8/",
"publishedAt": "2026-05-25T01:03:40.000Z",
"site": "https://jser.info",
"tags": [
"pnpm",
"npm",
"nodejs",
"security",
"CLI",
"JSer",
"Release pnpm 11.1 · pnpm/pnpm",
"Release pnpm 11.1.3 · pnpm/pnpm",
"pnpm 11.3 | pnpm",
"Release v11.15.0 · npm/cli",
"Staged publishing for npm packages",
"Deno 2.8 | Deno",
"@azuのスポンサー",
"@jser_info",
"JSer.info Sponsors",
"GitHub Sponsors",
"github.com/microsoft/playwright/releases/tag/v1.60.0",
"github.com/pnpm/pnpm/releases/tag/v11.1.0",
"github.com/voidzero-dev/vite-plus/releases/tag/v0.1.21",
"bun.com/blog/bun-v1.3.14",
"github.com/pnpm/pnpm/releases/tag/v11.1.3",
"nodejs.org/en/blog/release/v26.2.0",
"github.com/npm/cli/releases/tag/v11.15.0",
"github.com/apollographql/apollo-client/releases/tag/%40apollo%2Fclient%404.2.0",
"pnpm.io/blog/releases/11.3",
"deno.com/blog/v2.8",
"tanstack.com/blog/npm-supply-chain-compromise-postmortem",
"jadjoubran.io/blog/web-platform-influenced-by-libraries",
"nodejs.org/en/blog/migrations/axios-to-fetch",
"www.stepsecurity.io/blog/introducing-secure-registry-install-time-defense-for-the-npm-supply-chain",
"github.com/nkzw-tech/fate",
"hacks.mozilla.org/2026/05/web-serial-support-in-firefox/",
"github.com/tmikov/hermes-node",
"@acme",
"@org",
"@apollo"
],
"textContent": "JSer.info #772 - pnpm 11.1から11.3にかけて、サプライチェーンセキュリティに関する機能が多数追加されています。\n\n * Release pnpm 11.1 · pnpm/pnpm\n * Release pnpm 11.1.3 · pnpm/pnpm\n * pnpm 11.3 | pnpm\n\n\n\npnpm 11.1ではレジストリ署名を検証する`pnpm audit signatures`コマンドが追加され、11.1.3ではインストール時にlockfileのエントリを`minimumReleaseAge`で再検証する仕組みと`minimumReleaseAgeStrict`モードが導入されています。11.3ではStaged Publishing用の`pnpm stage`コマンドと、信頼済みのlockfile検証をスキップする`trustLockfile`設定が追加されています。\n\n* * *\n\nnpm CLI v11.15.0がリリースされました。\n\n * Release v11.15.0 · npm/cli\n\n\n\nStaged Publishingのための`npm stage`コマンドが追加されました。Staged Publishingは、パッケージの公開前に承認ステップを追加する仕組みで、ステージングへ送信した後にメンテナーが2FAで承認してからレジストリに公開されます。また、インストール時の挙動を制御する`allow-git`/`allow-file`/`allow-directory`/`allow-remote`の設定が追加されています。\n\n * Staged publishing for npm packages\n\n\n\n* * *\n\nDeno 2.8がリリースされました。\n\n * Deno 2.8 | Deno\n\n\n\n`deno audit fix`、`deno bump-version`、`deno ci`、`deno pack`、`deno transpile`、`deno why`などの新しいサブコマンドが追加されています。Node.js互換性のテストスイート合格率が42%から76.4%に改善し、Stage 3の`import defer`を実装しています。また、CLIで`npm:`プレフィックスが不要になり、`catalog:`プロトコルでモノレポの依存バージョンを一元管理できるようになっています。\n\n* * *\n\n### JSer.infoをサポートするには\n\n * 😘 知り合いにJSer.infoをおすすめする\n * ❤️ GitHub Sponsorsで@azuのスポンサーになる\n * 🐦 X(Twitter)で@jser_infoをフォローする\n\n\n\n### JSer.info Sponsors\n\n**JSer.info Sponsors** はGitHub SponsorsとしてJSer.infoを支援してくれている方々です。\n\n* * *\n\n# ヘッドライン\n\n* * *\n\n## Release v1.60.0 · microsoft/playwright\n\ngithub.com/microsoft/playwright/releases/tag/v1.60.0\n\n\nplaywright ReleaseNote\n\nplaywright v1.60.0リリース。\n破壊的な変更として、`Locator.ariaRef()`、bindingsの`handle`オプション、`videosPath`/`videoSize`などのdeprecatedなAPIを削除。\n`tracing.startHar()`/`tracing.stopHar()`でHAR記録をサポート、外部からのドラッグ&ドロップをシミュレートする`locator.drop()`の追加。\n`expect(page).toMatchAriaSnapshot()`をPageに対して利用できるように、`boxes`オプションで境界ボックス情報を含められるように。\nテストを中断する`test.abort()`、`browser.on('context')`イベントとBrowserContextのライフサイクルイベントの追加など\n\n* * *\n\n## Release pnpm 11.1 · pnpm/pnpm\n\ngithub.com/pnpm/pnpm/releases/tag/v11.1.0\n\n\npnpm ReleaseNote\n\npnpm v11.1.0リリース。\nレジストリ署名を検証する`pnpm audit signatures`コマンド、`namedRegistries`によるレジストリのプレフィックス指定(`gh:@acme/private`など)のサポート。\n`pnpm bugs`/`pnpm owner`コマンドの追加。\nSBOMの仕様バージョンを指定する`--sbom-spec-version`、ランタイムのインストールをスキップする`--no-runtime`フラグの追加など。\n\n* * *\n\n## Release vite-plus v0.1.21 — Create, Migrate & Local CLI Power-Up · voidzero-dev/vite-plus\n\ngithub.com/voidzero-dev/vite-plus/releases/tag/v0.1.21\n\n\nvite CLI Tools ReleaseNote\n\nvite-plus v0.1.21リリース。\n`vp pm`コマンドがローカルCLIで動作するようになり、`vp migrate`はnamed catalogsの書き換えや`tsdown/client`のインポートと型設定の移行に対応。\n`vp create`は`@org`形式のスコープ付きテンプレートをサポート。\nNushellへの対応、`vp pm plugin`のyarnサポート、`--provenance`フラグ、Windowsの`.cmd`シム経由のPowerShell実行などを追加。\npnpm v11+での`--ignore-scripts`自動付与、`vite-plus/pack/client`の追加など\n\n* * *\n\n## Bun v1.3.14 | Bun Blog\n\nbun.com/blog/bun-v1.3.14\n\n\nBun ReleaseNote\n\nBun v1.3.14リリース。\n画像のリサイズ/回転/フォーマット変換に対応した画像処理API `Bun.Image`を追加。\n`Bun.serve()`がHTTP/3 over QUICに対応、`fetch()`が実験的にHTTP/2とHTTP/3プロトコルをサポート。\nisolated linkerのglobalStoreオプションを追加、親プロセス終了時にBunプロセスツリーを終了する`--no-orphans`フラグの追加。\nNode.js v24互換の`process.execve()`、Windowsでの`Bun.Terminal`(ConPTY)、FreeBSD/Androidの公式ビルド提供など\n\n* * *\n\n## Release pnpm 11.1.3 · pnpm/pnpm\n\ngithub.com/pnpm/pnpm/releases/tag/v11.1.3\n\n\npnpm ReleaseNote\n\npnpm v11.1.3リリース。\nインストール時に`pnpm-lock.yaml`のエントリを`minimumReleaseAge`と`trustPolicy`で再検証するように変更と`minimumReleaseAgeStrict`モードの追加。\n`pnpm self-update`が`minimumReleaseAge`を尊重するように変更、`NODE_AUTH_TOKEN`未設定時のOIDC認証失敗などを修正。\n\n* * *\n\n## Node.js — Node.js 26.2.0 (Current)\n\nnodejs.org/en/blog/release/v26.2.0\n\n\nnodejs ReleaseNote\n\nNode.js 26.2.0リリース。\n`fs.Stats`と`BigIntStats`が`Temporal.Instant`をサポート、HTTPの`writeInformation`メソッドで任意の1xxステータスコードを送信できるよう。\n`stream.compose`がStableへ変更、Web Cryptography APIにML-DSA/ML-KEM/ChaCha20-Poly1305などのアルゴリズムを追加など\n\n* * *\n\n## Release v11.15.0 · npm/cli\n\ngithub.com/npm/cli/releases/tag/v11.15.0\n\n\nnpm CLI ReleaseNote\n\nnpm CLI v11.15.0リリース。\nStaged Publishingのための`npm stage`コマンドを追加、`trust`コマンドにpermissionsサポートを追加。\nインストール時の挙動を制御する`allow-git`/`allow-file`/`allow-directory`/`allow-remote`の設定を追加。\n\n * Staged publishing for npm packages\n\n\n\n* * *\n\n## Release @apollo/client@4.2.0 · apollographql/apollo-client\n\ngithub.com/apollographql/apollo-client/releases/tag/%40apollo%2Fclient%404.2.0\n\n\nJavaScript library ReleaseNote GraphQL\n\nApollo Client 4.2.0リリース。\nhookやメソッドのシグネチャに、`defaultOptions`を反映する\"modern\"スタイルを追加。\n`RefetchEventManager`クラスを追加し、windowのfocusやネットワーク再接続などのイベントに応じたクエリの自動再取得をサポート。\n`client.query`/`client.mutate`/`useMutation`/`preloadQuery`の戻り値の型に`defaultOptions`を反映するように改善。\n\n* * *\n\n## pnpm 11.3 | pnpm\n\npnpm.io/blog/releases/11.3\n\n\npnpm ReleaseNote\n\npnpm 11.3リリース。\nStaged Publishing用の`pnpm stage`コマンド、信頼済みのlockfileの検証をスキップする`trustLockfile`設定の追加。\n`pnpm pkg`/`pnpm repo`/`pnpm set-script`をネイティブ実装に置き換え、`pnpm publish`に`--skip-manifest-obfuscation`フラグを追加など\n\n* * *\n\n## Deno 2.8 | Deno\n\ndeno.com/blog/v2.8\n\n\ndeno ReleaseNote\n\nDeno 2.8リリース。\n`deno audit fix`/`deno bump-version`/`deno ci`/`deno pack`/`deno transpile`/`deno why`などの新しいサブコマンドを追加。\nNode.js互換性のテストスイート合格率が42%から76.4%に改善、Stage 3の`import defer`を実装。\nCLIで`npm:`プレフィックスが不要に、`catalog:`のサポート、`--os`/`--arch`フラグでクロスプラットフォームインストールに対応。\n`OffscreenCanvas`や`DOMPoint`などのWeb APIを追加、Chrome DevToolsでのネットワークデバッグやCPUプロファイリングをサポート。\n\n* * *\n\n# アーティクル\n\n* * *\n\n## Postmortem: TanStack npm supply-chain compromise | TanStack Blog\n\ntanstack.com/blog/npm-supply-chain-compromise-postmortem\n\n\nTanStack npm security Actions article\n\n2026年5月11日に発生したTanStackのnpmパッケージに対するサプライチェーン攻撃のポストモーテム。\n`pull_request_target`ワークフローの設定不備、GitHub Actionsのキャッシュポイズニングを組み合わせた攻撃手法について。\nフォークからのPRで実行されたコードがpnpmのキャッシュを汚染し、後のリリースワークフローで悪意のあるバイナリが復元された。\n`/proc/`経由でランナープロセスのメモリからOIDCトークンを抽出してnpm publishに利用された。\n対策として`pull_request_target`を使うワークフローの監査、サードパーティActionのコミットハッシュ固定などを挙げている。\n\n* * *\n\n## 9 Times the Web Platform Was Influenced by Libraries | Jad Joubran\n\njadjoubran.io/blog/web-platform-influenced-by-libraries\n\n\nWebPlatformAPI JavaScript library history article\n\nWebプラットフォームのネイティブAPIがライブラリから受けた影響を9つの事例で紹介する記事。\njQuery/SizzleのCSSセレクタが`querySelector`に、Bootstrapの`data-toggle`が`popovertarget`/`command`属性に。\njQueryの`.addClass()`が`classList`へ、Lodash/Underscoreのメソッドが`String`/`Array`のメソッドに。\nさらに`structuredClone`、Promises/A+の標準化、ES Modulesの設計。\nMoment.jsの課題から`Temporal API`、jQueryの`.closest()`から`Element.closest()`の流れなどについて。\n\n* * *\n\n## Node.js — Axios to WHATWG Fetch\n\nnodejs.org/en/blog/migrations/axios-to-fetch\n\n\nnodejs Fetch HTTP article\n\nAxiosからNode.js Fetch APIへの移行ガイド。\nNode.js v18.0.0以降を前提に、`axios.get()`/`axios.post()`/`axios.put()`/`axios.delete()`やフォーム送信などのコード変換例を解説している。\nインターセプターやキャンセルトークンなどの一部機能は未対応である点についても解説されている\n\n* * *\n\n## Introducing Secure Registry: install-time defense for the npm supply chain - StepSecurity\n\nwww.stepsecurity.io/blog/introducing-secure-registry-install-time-defense-for-the-npm-supply-chain\n\n\nnpm security article\n\nStepSecurityによるnpmサプライチェーン攻撃に対するインストール時の防御を行うProxy型のレジストリサービス。\nレジストリへのパッケージ取得要求をプロキシで評価し、新規公開からの一定期間ブロックするクールダウン期間、危険なパッケージのブロック、タイポスクワッティング対策などの機能を提供する。\nローカルの開発環境、CI/CDパイプラインなどでの利用を想定している。\n\n* * *\n\n## nkzw-tech/fate: fate is a modern data client for React.\n\ngithub.com/nkzw-tech/fate\n\n\nReact library TypeScript GraphQL\n\nReactのデータクライアントライブラリ。\nRelay/GraphQLの設計から影響を受けて、コンポーネントごとに`view`でデータを宣言し、正規化キャッシュとデータマスキングを提供する。\nAsync React(Actions/Suspense/`use`)に対応し、ページネーション、Optimistic Updates、Server-Sent Eventsでの更新のサポート。\nバックエンドとしてGraphQL/tRPC/Prisma/Drizzleに対応している。\n\n* * *\n\n## Announcing Web Serial Support in Firefox - Mozilla Hacks - the Web developer blog\n\nhacks.mozilla.org/2026/05/web-serial-support-in-firefox/\n\n\nFirefox browser WebAPI Mozilla\n\nFirefox 151でWeb Serial APIをサポート。\nWeb Serial APIはJavaScriptからシリアルデバイスを読み書きするAPIで、USBやBluetoothで接続したマイコン、3Dプリンター、スマートメーターなどに直接アクセスできる。\nユーザーが明示的に許可したポートのみアクセス可能で、サイトandポートごとに権限を管理できる。\n\n* * *\n\n# ソフトウェア、ツール、ライブラリ関係\n\n* * *\n\n## tmikov/hermes-node: Node.js built-in module compatibility layer for the Hermes JS engine\n\ngithub.com/tmikov/hermes-node\n\n\nnodejs JavaScript TypeScript library\n\nHermesをベースにしたNode.js互換のJavaScript/TypeScriptランタイム。\nTypeScriptファイルを直接実行でき、Chrome DevToolsプロトコルに対応したデバッガを内蔵している。\n`fs`/`http`/`net`/`path`/`stream`などのNode.jsコアモジュールは、Node.js内部のJS実装をそのまま利用する。\n\n* * *",
"title": "2026-05-24のJS: pnpm 11.1〜11.3、npm CLI v11.15.0、Deno 2.8"
}