#npm のAIニュース
8件の記事
Dependabot、.npmrc の自動推論を廃止
GitHub が提供する依存関係管理ツール「Dependabot」が、npm プライベートレジストリの設定ファイルである .npmrc を自動的に推測する機能を停止し、代わりに設定ファイルでの明示的なスコープ定義を推奨した。
npm、高影響力アカウント向けの予防的保護機能を追加
npm は、レジストリ上で最も広く使用されるパッケージを管理する高影響力アカウントにおいて、メール変更や2FA回復コードの使用を検知した場合、72 時間の読み取り専用状態に設定し、前メールアドレスへアラートを通知することで、アカウント乗っ取り攻撃を防ぐ予防的保護機能を導入した。
npm v12 の今後の破壊的変更点について
npm は次期メジャーバージョン v12 で、依存関係のスクリプト実行をデフォルトで無効化するセキュリティ関連の変更を導入する。この変更は 2026 年 7 月のリリースを見込んでおり、現在は警告表示として既存バージョンでも確認可能である。
npm の段階的公開機能とインストール時の制御オプションが利用可能に
npm はバージョン 11.15.0 で、サプライチェーンセキュリティを強化する新機能をリリースした。具体的には、パッケージの公開を段階的に実施できる「段階的公開」機能が一般提供され、ファイルやリモートソースからのインストールを制御する新しいフラグが追加された。
Axios npmパッケージがサプライチェーン攻撃により侵害
2026年3月31日、Axiosチームは、2バージョンのAxiosライブラリがリモートアクセス型トロイの木馬を含むように侵害されたと発表した。悪意のあるパッケージは乗っ取られたメンテナアカウントを通じて公開され、セキュリティ専門家は依存関係管理の改善を強調している。
Axiosへのサプライチェーン攻撃、npmから悪意のある依存関係を引き込む
Socket.devが、週間1億1,400万ダウンロードのHTTPクライアントNPMパッケージ「Axios」のバージョン1.14.1と0.30.4に、新たに公開されたマルウェア「plain-crypto-js」が依存関係として含まれていたと報告した。
パッケージマネージャーは冷静になる必要がある
パッケージマネージャーとアップデートツールにおける依存関係のクールダウンサポートに関する調査が行われた。
npmデータ主体アクセス要求
npmがGDPRのデータ主体アクセス要求に対応した。