npmのTrusted Publishing機能がCircleCIをサポート
npmの信頼できる公開機能がCircleCIをOIDCプロバイダーとしてサポートし、GitHub ActionsとGitLab CI/CDに続くサポート拡大により、CI/CDパイプラインからの直接認証が可能になり、npmjs.comウェブサイトにはGitHub Copilotを活用して開発されたダークモードが追加された。
キーポイント
CircleCIの信頼できる公開サポート
npmの信頼できる公開機能がCircleCIをOIDCプロバイダーとしてサポートし、CI/CDワークフローからの直接認証が可能になった。これにより、保存された認証情報を完全に排除できる。
主要CIプロバイダーカバレッジの拡大
GitHub ActionsとGitLab CI/CDに続くCircleCIのサポートにより、信頼できる公開機能はnpmパブリッシャーの大多数をカバーするようになった。
npmjs.comダークモードの実装
コミュニティから最も要望の多かった機能であるダークモードがnpmjs.comウェブサイトに追加され、GitHub Copilotのエージェントモードを活用して最小限のエンジニアリング時間で実装された。
セキュリティ強化とメンテナー支援
npmのセキュリティ強化と、パッケージ公開に対するメンテナーの主体性向上に焦点が当てられている。
影響分析・編集コメントを表示
影響分析
この拡張により、npmエコシステムのセキュリティがさらに向上し、開発者のCI/CDワークフロー統合が容易になる。特に、GitHub Copilotを活用した機能開発の事例は、AI支援開発ツールの実用的な応用例として注目される。
編集コメント
CI/CDセキュリティの実用的な改善と、AIツールを活用した開発効率化の両面で価値のあるアップデート。特にGitHub Copilotの具体的な活用事例は参考になる。
npmの信頼済み公開(trusted publishing)が、OIDCプロバイダーとしてCircleCIをサポートするようになりました。これで、GitHub ActionsとGitLab CI/CDに続くサポート拡張となります。CircleCIワークフローからパッケージを公開するメンテナーは、保存済みの認証情報を完全に廃止し、CI/CDパイプラインを通じて直接認証できるようになりました。
この拡張により、信頼済み公開はCIプロバイダー別に見て、npm公開者の大部分をカバーするようになりました。設定はnpmウェブサイトおよびnpm trust CLIコマンドから行えます。セットアップ手順については、信頼済み公開のドキュメントをご覧ください。
また、コミュニティから最も要望の多かった機能の一つである、npmjs.comウェブサイトのダークモードをリリースしました。当チームはGitHub Copilotエージェントモードを活用してこの機能を構築し、最終レビューとリリース以外のエンジニアリング工数を最小限に抑えて提供することができました。私たちの焦点は、npmのセキュリティ強化と、メンテナーが公開するパッケージに対する管理権限の向上に引き続き置いています。
フィードバックや質問がある場合は、コミュニティディスカッションにご参加ください。
この投稿「npm trusted publishing now supports CircleCI」は、The GitHub Blogで最初に公開されました。
原文を表示
npm trusted publishing now supports CircleCI as an OIDC provider, joining GitHub Actions and GitLab CI/CD. Maintainers publishing from CircleCI workflows can now eliminate stored credentials entirely and authenticate directly through their CI/CD pipeline.
With this expansion, trusted publishing now covers a large majority of npm publishers by CI provider. Configuration is available through the npm website and the npm trust CLI command. See the trusted publishing documentation for setup instructions.
We’re also shipping dark mode for the npmjs.com website, one of the most requested features from the community. Our team built this using GitHub Copilot agent mode, allowing us to deliver it with minimal engineering time beyond final review and shipping. Our focus remains on strengthening npm security and enhancing maintainer agency over the packages they publish.
To share feedback or ask questions, join the community discussion.
The post npm trusted publishing now supports CircleCI appeared first on The GitHub Blog.
関連記事
デプロイ保護のための信頼できるソース機能
Vercel は、保護されたデプロイメントが OIDC トークンを受け入れる「Trusted Sources」機能を導入し、自動化シークレットの共有不要化を実現した。
エージェント生成のプルリクエストは至る所にあり、レビュー方法とは
2026年1月の研究により、コードエージェントが生成したコードは表面的には清潔だが、重複や技術的負債が増加し、レビュアーが誤って承認する傾向があることが示された。
「正解」が非確定的な場合の自律型エージェント行動の検証
GitHub Copilot Coding Agent(Agent Mode)のような自律型エージェントは、UI やブラウザとの相互作用により正解が複数経路に分かれるため、従来の反復可能性を前提としたテスト手法では不十分である。