設定ファイルに1行追加するだけ。悪意あるパッケージをインストール前にブロックします。
Guard機能 - Takumi byGMO | GMO Flatt Security
設定ファイルに1行追加するだけ。悪意あるパッケージをインストール前にブロックします。
レガシー Monorepo を安全かつ素早く pnpm workspace に移行する方法
Developer Experience & Performance チームでエンジニアをしている大矢です。今回はレガシーな monorepo 構成において、比較的コストをかけずに npm から pnpm workspace に移行する際のポイントについて解説します。 背景プレイドでは 2019 年から Microservice 構成を採用していますが、具体的には Self Contained System (SCS)というような構成になっています。1つの SCS にはフロントエンドのコードや API が package で切られて、いわゆる Monorepo の構成になっています。今回の事例では apiv2 という system を取り扱います。apiv2 は KARTE API を構成する system で内部的に使われている名前です。KARTE API のように SaaS の機能を
クラウドサインは npm から pnpm へ移行しました - 弁護士ドットコム株式会社 Creators’ blog
はじめに モチベーション pnpm が提供するセキュリティ機能 strictDepBuilds allowBuilds trustPolicy trustPolicyExclude blockExoticSubdeps 実際の移行手順 移行してみての所感 まとめ はじめに こんにちは、クラウドサインでフロントエンドエンジニアをしています篠田 (@tttttt_621_s) です。 普段のソフトウェア開発において、OSS の活用は欠かせません。クラウドサインも多くの OSS に支えられています。 しかし一方で、OSS には一定のリスクもあります。2025 年を振り返ると、npm パッケージにおけるサプライチェーン攻撃がたびたび話題になりました。 本記事では、サプライチェーン攻撃への対策の 1 つとして npm から pnpm へ移行した経緯とその過程で得た知見を共有します。 モチベーション
Strengthening supply chain security: Preparing for the next malware campaign
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
npm classic tokens revoked, session-based auth and CLI token management now available - GitHub Changelog
npm classic tokens revoked, session-based auth and CLI token management now available As previously announced, we’re completing the npm classic token deprecation today. This marks a major milestone in the security hardening initiative to strengthen npm’s authentication system. What’s changing today (December 9, 2025) npm classic tokens permanently revoked We’ve permanently revoked all existing npm
Introducing "safe npm", a Socket npm Wrapper - Socket
Huge News!Announcing our $40M Series B led by Abstract Ventures.Learn More →
Our plan for a more secure npm supply chain
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
Node.js TSC Votes to Stop Distributing Corepack - Socket
The Node.js Technical Steering Committee (TSC) has officially voted to stop distributing Corepack with future versions of Node.js. The decision, made via an encrypted ballot, will impact future releases of Node.js (i.e. 25+), though Corepack will remain available in Node.js 24 and earlier as an experimental feature. The Role of Corepack in Node.js#Corepack was introduced in Node.js version 16.9.0
Modulecounts
Data is collected by scraping the relevant websites once a day via a cron job and then stored in a Postgresql database for later retrieval. Growth rates are calculated by averaging data over the last week. I'm gathering counts of separate modules, so multiple versions of the same module/package/gem only count once (foo-1.2, foo-1.3 and bar-1.0 would count as 2 total). (Jun 23, 2019) Update Crates.
Node.js Takes Steps Towards Removing Corepack - Socket
Following a discussion in OpenJS Slack, Node.js PMWG (Package Maintenance Working Group) members have formalized a plan for eventually removing Corepack. In February, the Node.js community engaged in a heated debate over a proposal to enable Corepack by default that was opened in November 2023. This included the question of whether npm would be provided through Corepack moving forward, as some con
ライアン・ダール、DenoにおけるHTTPインポートの設計の誤りを率直に認める — JSRへの移行を推奨
7月30日、Denoで「HTTPインポートに関して私たちが間違っていたこと(What we got wrong about HTTP imports)」と題した記事が公開された。この記事では、Deno、そしてNode.jsの開発者であるライアン・ダール自身が、DenoのHTTPインポートの設計に関する誤りと、それに対する解決策について(そして、JSRとDeno 2のPRも含め)述べている。 以下に、その内容を詳しく紹介する。 本記事は、以下のエキスパートに監修していただきました: 古川陽介さん(Japan Node.js Association代表理事) HTTPインポートとは DenoのモジュールシステムをHTTPインポートに基づいて設計するという試みは、npmに代わる分散システムをHTTP上で実現することを目指していた。これにより、package.jsonファイルやnode_modul
Announcing pkg.pr.new
Announcing pkg.pr.new We’re excited to introduce pkg.pr.new, a GitHub app to get instant preview releases of your packages. It allows your contributors and users to test continuous releases of each commit in your project’s main branches and on every Pull Request! We built pkg.pr.new to provide developers with a faster way to work together to test and validate changes. Currently, there is a lot of
The massive bug at the heart of the npm ecosystem
Disclosure: I was the Staff Engineering Manager for the npm CLI team between July 2019 & December 2022. I was a part of the GitHub acquistion of npm inc. in 2020. I left GitHub, for various reasons, in December.tldr;a npm package's manifest is published independently from its tarballmanifests are never fully validated against the tarball's contentsthe ecosystem has broadly assumed the contents of
Node.js Community Debate Intensifies Over Enabling Corepack ...
A heated debate is happening in the Node.js community over a proposal to enable Corepack by default that was opened in November 2023. This sparked the question of whether npm would be provided through Corepack moving forward, as some contributors hold the opinion that the eventual goal of its integration is to uncouple Node.js releases and npm releases. Corepack allows developers to use Yarn, npm,
NPM registry prank leaves developers unable to unpublish packages
A prank on npm included a meme image of Gary Oldman from the film “Léon." (Photo by Patrick Camboulive / Sygma via Getty Images) Update Jan. 4, 2024: GitHub told SC Media Wednesday night that disruptions related to the "everything" package, and its registry-wide dependencies, were being resolved. "We found the project to be in violation of GitHub's Acceptable Use Policies, which prohibit behavior
TS Docs | Reference docs for npm packages
tsdocs.dev helps you browse reference typescript documentation for any package or version of a library. Made with the help of typedoc
なんでbun installは速いのか?
A global install cache. bun installを実行すると ~/.bun/install/cache/ 以下にnpmレジストリからダウンロードされたファイルの実体が展開されキャッシュされる(--cache-dirでパスを変更できる)。 キャッシュにはパッケージのバージョンごとのディレクトリとlatestのシンボリックリンクがある。これらのファイルを使ってbun install時に該当するバージョンのダウンロードを省く(--forceで再ダウンロードする)。 このため一度bun installしてlockfileが作成されると次はオフラインでinstallを実行しても成功する。 node_modules/を削除しても~/.bun/install/cache/からファイルを取ってくるのでネットワークアクセスをしない。
Corepackを使ってNode.jsをアップデートする ⬆️⬆️
Corepackを使ってNode.jsをアップデートする ⬆️⬆️ 自己紹介 Name : azu Twitter : @azu_re Website: Web scratch, JSer.info [.background-color: #FFFFFFF] Node.js 14は2023年4月でEOL Node.js 14.xは2023-04-30、Node.js 16.xは2023-09-11でEOL(End Of Life) 2023年10月からはNode.js 18と20のみがLTSとしてサポートされるバージョンとなる https://github.com/nodejs/release#release-schedule サマリ Node.jsのバージョンアップは面倒だけど ほとんどのBREAKING CHANGEはライブラリにある npmのバージョンアップは面倒 npm 6とnpm
Node.js 14から18へアップデートする方法について
Corepackを使ってNode.jsをアップデートする ⬆️⬆️というタイトルで、Node.js 14からNode.js 18へのアップデートする方法について話した。 Node.js 14は4月末でEOLで、Node.js 18までアップデートする必要があるけど、npmの変更が混ざって大変です。 Corepackを使うことで、Node.jsとnpmのアップデートを同時にやらなくても良くなり、問題を分割して対応できます! Corepackを使ってNode.jsをアップデートする ⬆️⬆️https://t.co/mRHsBcYbpn pic.twitter.com/HiiCe7c5YE — azu (@azu_re) April 28, 2023 スライド: Corepackを使ってNode.jsをアップデートする ⬆️⬆️ Note: Node.js 14は2023-04-30でEOLで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
npmx - Package Browser for the npm Registry
