メインコンテンツへスキップ

#npm のAIニュース

8件の記事

Dependabot、.npmrc の自動推論を廃止

GitHub が提供する依存関係管理ツール「Dependabot」が、npm プライベートレジストリの設定ファイルである .npmrc を自動的に推測する機能を停止し、代わりに設定ファイルでの明示的なスコープ定義を推奨した。

GitHub Changelog·6月30日·★★★★

npm、高影響力アカウント向けの予防的保護機能を追加

npm は、レジストリ上で最も広く使用されるパッケージを管理する高影響力アカウントにおいて、メール変更や2FA回復コードの使用を検知した場合、72 時間の読み取り専用状態に設定し、前メールアドレスへアラートを通知することで、アカウント乗っ取り攻撃を防ぐ予防的保護機能を導入した。

GitHub Changelog·6月26日·★★★★

npm v12 の今後の破壊的変更点について

npm は次期メジャーバージョン v12 で、依存関係のスクリプト実行をデフォルトで無効化するセキュリティ関連の変更を導入する。この変更は 2026 年 7 月のリリースを見込んでおり、現在は警告表示として既存バージョンでも確認可能である。

GitHub Changelog·6月10日·★★★★

npm の段階的公開機能とインストール時の制御オプションが利用可能に

npm はバージョン 11.15.0 で、サプライチェーンセキュリティを強化する新機能をリリースした。具体的には、パッケージの公開を段階的に実施できる「段階的公開」機能が一般提供され、ファイルやリモートソースからのインストールを制御する新しいフラグが追加された。

GitHub Changelog·5月23日·★★★★

Axios npmパッケージがサプライチェーン攻撃により侵害

2026年3月31日、Axiosチームは、2バージョンのAxiosライブラリがリモートアクセス型トロイの木馬を含むように侵害されたと発表した。悪意のあるパッケージは乗っ取られたメンテナアカウントを通じて公開され、セキュリティ専門家は依存関係管理の改善を強調している。

InfoQ·4月2日·★★★★

Axiosへのサプライチェーン攻撃、npmから悪意のある依存関係を引き込む

Socket.devが、週間1億1,400万ダウンロードのHTTPクライアントNPMパッケージ「Axios」のバージョン1.14.1と0.30.4に、新たに公開されたマルウェア「plain-crypto-js」が依存関係として含まれていたと報告した。

Simon Willison Blog·4月1日·★★★★

パッケージマネージャーは冷静になる必要がある

パッケージマネージャーとアップデートツールにおける依存関係のクールダウンサポートに関する調査が行われた。

Andrej Karpathy 厳選·3月4日·★★★★

npmデータ主体アクセス要求

npmがGDPRのデータ主体アクセス要求に対応した。

Andrej Karpathy 厳選·2月28日