セマンティックバージョニング(semver)と npm のバージョン指定を実務目線で整理します。MAJOR.MINOR.PATCH の意味、0.y.z(初期開発版)の特別扱い、プレリリースとビルドメタデータ、そしてキャレット ^ とチルダ ~ が許可する範囲の違い、^0.2.3 が ~ と同じになる 0.x の罠、package.json と package-lock.json の役割分担、npm install / ci / update の違いまで、semver.org・npm 公式・node-semver を一次ソースにまとめます。
pnpm 10 はインストール時の依存のビルドスクリプト(postinstall 等)をデフォルトでブロックし、明示的に承認した依存だけ実行します。onlyBuiltDependencies や approve-builds、minimumReleaseAge を使った現実的なサプライチェーン防御設定を、手元の pnpm 10.12.4 の挙動を確認しながら整理します。
2026年5月、TanStack 事件を起こした TeamPCP が汚染 VS Code 拡張「Nx Console」を経由して GitHub 従業員端末を侵害し、内部リポジトリ約3,800件を流出させた事件を整理します。攻撃チェーン、ペイロード、そして npm が投入した staged publishing(2FA承認ゲート)まで。
2026年5月11日に発生したTanStack npmサプライチェーン攻撃を、GitHubActions、OIDC、SLSA provenance、Mini Shai-Huludの文脈から整理します。
週1億ダウンロードを誇るnpmパッケージ「axios」が、北朝鮮系脅威アクターによって乗っ取られた事件を解説。攻撃の手口、影響を受けたバージョン、自分のプロジェクトの確認方法、今後の防御策をまとめます。
2026年3月31日、週間1億ダウンロードを超える人気パッケージ「axios」のnpmアカウントが乗っ取られ、悪意あるバージョン1.14.1と0.30.4が公開されました。攻撃の全容、影響を受けるバージョンの確認方法、今後の防御策をまとめます。