2026-06-10 の一覧へ戻るホーム
NPM バージョン 12 で導入される予定のbreaking changes

2026/06/10 6:01

NPM バージョン 12 で導入される予定のbreaking changes

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

npm v12 開始(推定リリースは 2026 年 7 月)、

npm install
に対してより厳格なセキュリティデフォルトが適用されます。最も重要な変更は、自動スクリプト実行の無効化です(
allowScripts
がデフォルトでオフ)。明示的に承認されないと、preinstall、install、postinstall スクリプト(
node-gyp
を介するネイティブビルドを含む)がブロックされます。準備のためには、これらの変更を警告付きで利用可能な npm v11.16.0+(またはそれ以降)を使用してください:
npm approve-scripts --allow-scripts-pending
を実行し、信頼できるパッケージについては 
npm approve-scripts
で明示的に承認し、他は 
npm deny-scripts
で拒否します。結果となる許可リストは 
package.json
に書き込まれコミットすべきであり、v12 へのアップグレード後は承認されたスクリプトのみが実行されます。

さらに、デフォルトでは 

--allow-git
(npm 11.10.0+ で利用可能)は none に解決され、Git ベースの依存関係に対して明示的なフラグが必要となり、
.npmrc
オーバーライドを介した潜在的なコード実行経路を閉じます。同様に、
--allow-remote
(npm 11.15.0+ で利用可能)はリモート URL から依存関係を解決する場合にデフォルトで none に設定されます。
--allow-file
および 
--allow-directory
は現在のデフォルトを維持します。保守担当者および CI/CD パイプラインは依存関係を検証し、
package.json
内の許可リストを更新し、アップグレード前に変更をコミットする必要があります。そうでない場合、手動の例外を設定しない限りビルド失敗となります。詳細は npm ドキュメントの 
npm approve-scripts
npm deny-scripts
、および 
allow-scripts config
をご参照ください。

本文

npm 12 のセキュリティ機能強化に伴うデフォルト動作の変更と準備手順

npm 12(次期主要バージョン)で導入される新たなセキュリティ機能により、「npm install」のデフォルト動作に重大な変更が予定されています。これらの対策は、現在の npm 11.16.0 以降で警告表示されつつあり、アップデート前の対応が可能になっています。

  • リリース時期: 概算で 2026 年 7 月
  • 現状: npm 11.16.0+ で警告メッセージを確認可能
  • 目的: 「自動実行」から「明示的許可」への転換によるセキュリティ強化

変更点の概要

以下の機能は、現在自動的に実行されていた動作を、明示的に許可する必要があるものへと変更されます。

1. スクリプト実行の制限(
allowScripts

  • 変化: 
    allowScripts
    のデフォルトが「オフ」になります。
  • 影響:
    • 依存パッケージ内のスクリプト(
      preinstall
      , 
      install
      , 
      postinstall
      )の実行が行われません。
    • ネイティブビルドを要するパッケージ(
      node-gyp
      の構築など、
      binding.gyp
      を持つ場合)もブロックされます。
    • git
      , 
      file
      , 
      link
      ソースからの依存関係に含まれる 
      prepare
      スクリプトもブロックされます。
  • 対策方法: 
    # 対象パッケージの確認と白名簿作成
npm approve-scripts --allow-scripts-pending

# 信頼するパッケージを許可
npm approve-scripts <package_name>

# 残りのパッケージをブロック(必要に応じて)
npm deny-scripts <package_name>
  • 注意: 生成された白名簿は必ず 
    package.json
    に書き込み、コミットしてください。npm 11.16.0+ を使用している場合、警告メッセージで該当スクリプトを実行中のルーチンを特定できます。

2. Git リポジトリの扱い(
--allow-git

  • 変化: 
    --allow-git
    のデフォルトが「なし」になります。
  • 影響:
    • 明示的に指定しない限り、Git デプロイメント(直接および依存先)は解決されません。
    • .npmrc
      ファイルによる Git 実行ファイルの上書きによるコード実行経路を防ぎます。
  • 対応フラグ: 
    --allow-git
    を明示的に追加することで利用可能。
  • 利用バージョン: npm 11.10.0+(以前に発表済み)。

3. リモート URL の扱い(
--allow-remote

  • 変化: 
    --allow-remote
    のデフォルトが「なし」になります。
  • 影響:
    • HTTPS アーカイブ(tarball)などのリモート URL から依存関係を解決しないようになります(直接および依存先)。
  • 対応フラグ: 
    --allow-remote
    を明示的に追加することで利用可能。
  • 利用バージョン: npm 11.15.0+。
  • 補足: 
    --allow-file
    および 
    --allow-directory
    フラグについては、v12 でもデフォルト値に変更はありません。

準備と移行手順

セキュリティリスクを回避し、円滑に移行するためのアクションプランです。

  1. アップデートの確認

    • npm を 11.16.0 以降 にアップデートしてください。
    • 通常通りインストールを実行し、表示される警告メッセージを確認します。

  2. スクリプトの白名簿作成

    # 必要なスクリプトを特定
npm approve-scripts --allow-scripts-pending
    • 警告で表示されたパッケージの中から、本当に信頼できるものだけを許可リストへ追加します。
    • 不要なスクリプトはブロックするか、そのまま無効化してください。

  3. 設定のコミット

    • 更新された 
      package.json
      (白名簿情報を含む)を必ず Git リポジトリにコミットしてください。

  4. アップグレード後の動作

    • npm 12 アップグレード後、許可されたスクリプトのみが実行され、許可されていないものはすべて停止します。
    • 必要な場合はインストールコマンドにフラグを明示的に追加する必要があることを忘れずに: 
      # 例:Git やリモート URL の使用が必要なら
npm install --allow-git --allow-remote

詳細情報とサポート

  • 公式ドキュメント: 
    • npm approve-scripts
    • npm deny-scripts
    • allow-scripts
      構成項目の設定方法
    • npx
      またはグローバルインストールへの対応も含まれます。
  • コミュニティ: 具体的なご意見やご質問については、npm の公式コミュニティディスカッションでご相談ください。

同じ日のほかのニュース

一覧に戻る →

2026/06/10 1:58

クロード・フェブル 5

## 日本語訳: 以下の改善されたバージョンでは、欠落していた安全性の詳細、具体的な価格設定構造、データ保持ポリシー、および可用性のタイムラインを補いながら、明瞭性を維持しています: ## まとめ: Anthropic は、一般使用に安全であり、ソフトウェア工学、可視化解析、長期コンテキスト処理、科学的研究、およびメモリータスクにおいて従来のすべてのバージョンを超えた「Mythos クラス」のモデルである **Claude Fable 5** を導入しました。同モデルは直ちに API とサブスクリプションプラン(Pro から Enterprise まで)で利用でき、6 月 22 日まで利用可能です(6 月 23 日からは使用クレジットに移行)。価格は入力トークンあたり **10 ドル**、出力トークンあたり **50 ドル** で設定されており、Claude Mythos Preview など以前のプレミアムモデルよりも大幅に安価です。 Fable 5 は転換的な性能向上を提供し、以前は何ヶ月もかかった工学タスクを数日へと圧縮するとともに、薬剤設計を約 10 倍加速させます。安全性と有用性のバランスを取りつつ、Fable 5 におけるセンシティブなトピックに関するクエリについては、**Claude Opus 4.8** にフォールバックを行う設定となっており、これは保守的なチューニングによりセッションの **約 5% よりも少ない割合** で発生します。さらに、特定の分類器は生物学/化学分野での危険な研究の向上や悪意のあるハッキング試行をブロックします。また、Anthropic は Mythos クラスモデルに対して新しい **30 日間のデータ保持ポリシー** を実施し、このトラフィックを新モデルの訓練や安全性以外の目的で使用することを禁止しています。 一般向けの Fable 5 バージョンは依然として非常に安全ですが、未検閲バージョンである **Claude Mythos 5** は、15 カ国以上で選択されたサイバーセキュリティおよびインフラストラクチャパートナー(将来的には約 150 の新しい組織へ拡大)を独占的に対象とする **Project Glasswing** を通じて利用可能です。この戦略的動きは、責任ある使用基準を損なうことなく科学的発見を加速し、重要インフラのセキュリティを強化することを目的としています。プログラムには、将来、特定の生命科学研究者のために生物学/化学の safeguards を解除する計画も含まれています。

2026/06/10 4:21

FPGA を用いたKolmogorov-Arnold Networkによる超高速機械学習

## Japanese Translation: 本テキストは、Kolmogorov-Arnold Network(KAN)を Field-Programmable Gate Array(FPGA)上で展開し、超高速機械学習に特化して設計された革命的な新ハードウェアアーキテクチャを導入します。従来の GPU はスケジューリング遅延およびメモリオーバーヘッドによりマイクロ秒以下の応答時間を達成できず苦労しますが、この FPGA ベースのアプローチでは、ニューラルネットワークをリプログラミング可能なデジタルロジックと直接統合するため、アルゴリズムと設計のコデザインを採用しています。固定された重みではなく、B スプライン基底関数によって定義される学習可能なエッジアクティベーションに置き換えることで、伝統的なルックアップテーブルモデルに見られるような指数関数的スケーリングの問題を回避します。この手法は、定点符号化によるデータエンコーディングの簡素化を実現し、トレーニングの安定性を確保します。主な革新点は、「B スプラインの局所性」の利用であり、グリッドセルごとにアクティブとなる基底関数の数が限られているため、ネットワークの次数を増やすことなくグリッドサイズを拡大することでモデルを水平方向にスケール可能になります。得られる枠組みは「KANELÉ」と命名され、従来の実装に対する驚異的な 2,700 倍もの速度向上を達成し、オンデバイスでの動的モデル更新が可能となる真のオンライン学習を実現します。この画期的な成果は、量子コンピューティング制御システムなどリアルタイム意思決定が必要な産業に対し、高効率性と継続的改善を支援する GPU の代替として堅牢な選択肢を提供します。大規模テストにおいて、同システムは関数近似やキュビット読み出しなどのタスクで伝統的な MLP よりも優れたハードウェアスケーリングと収束性を示し、50,000 パラメータまで扱いながらマイクロ秒以下のレイテンシを維持しました。

2026/06/09 19:46

1993 のグラフィックを作るかのように

## 日本語訳: **サマリー:** Catlantean 3D は、1 年間の余暇に 걸쳐情熱的に開発されたプロジェクトであり、2027 年初頭における公式な Steam リリースを目指しています。古代エジプトのサイバーパンクパロディである Catlantis を舞台とし、厳格な技術的制約の下でレトロな魅力と現代の革新性を融合させています。 視覚的には、プリレンダリングされた Blender モデルと手描きの Aseprite スプライトを組み合わせ、ハイトマップ、ノイズ、汚れを用いた手続き生成テクスチャ(procedurally generated textures)や、Voronoi 分解および物理シミュレーションを利用した複雑な手続き的なデスマニペーション(complex procedural death animations)を実装しています。DDA アルゴリズムを使用したカスタム実装のレイカッストリングエンジン上で動作し、320x240 の解像度と 256 カラーによりスクエアピクセルを確保しています。主要な技術的達成事項としては、浮動小数点精度と組み合わせた決定論的なレンダリングロジックが挙げられます。エンジンは、Olabk(※原文「Oklab」の誤記と考えられるため)距離を利用した革新的なパレット管理システムを搭載し、色認識の正確さを保証するとともに、 colormap ルックアップテーブルを使用した動的照明アルゴリズムを採用し、ループ処理なしで O(1) パフォーマンスを実現しています。 本プロジェクトには、高度な照明機能やフラグペイントイングを支援するカスタム Python ベースのマップエディタ(wxPython/pybind)が含まれています。最終製品は設定不要であることがありながら、5 ドルから 8 ドルの価格帯で提供され、コンパイル済みバイナリアーカイブとして配布されます。コミュニティ精神に倣い、開発者は GitHub 上で全体のコードベースを開源化することを計画しており、レイカッストリングエンジンや手続き的なコンテンツ生成を調査する愛好家に貴重な洞察を提供します。