This tutorial is intended for beginners, if you think there is an error in the command or word, please contribute.
Permanent link
You needed to have git, nodejs, and npm installed. You can follow the installation guide in their respective page. Then, run those commands.
git clone https://github.com/w3teal/11ty-beer ./my-blog cd ./my-blog npm install npm start
If you wonder…
JSer.info #772 - pnpm 11.1から11.3にかけて、サプライチェーンセキュリティに関する機能が多数追加されています。
pnpm 11.1ではレジストリ署名を検証するpnpm audit signaturesコマンドが追加され、11.1.3ではインストール時にlockfileのエントリをminimumReleaseAgeで再検証する仕組みとminimumReleaseAgeStrictモードが導入されています。11.3ではStaged Publishing用の`pnpm…
Three supply-chain compromises in eight days self-propagated through SLSA-attested pipelines. The custodians signed the malware themselves.
By Nigel Douglas
By now a bunch of people in the OpenSSF community might already be aware of the Malicious Packages repository, but are you using it as part of your day-to-day software supply chain security?
The OpenSSF Malicious Packages repo is the first open source system for collecting and publishing cross-ecosystem reports of malicious packages – such as dependency and manifest…
背景: 何が起きているか 2025年9月、Shai-Hulud攻撃がnpmエコシステムを直撃した。ngx-bootstrap、ng2-file-upload、@ctrl/tinycolor等の正規パッケージが改ざんされ、postinstallフックで難読化済みのbundle.jsを実行、npm/GitHub/クラウドの認証情報を窃取しwebhook経由で外部へ送信した。最終的に数百パッケージが汚...
What happens when users design their own package registry frontend
I went full speed ahead this week.
Builder mode from start to finish. This week felt like creative momentum, shipping things I am genuinely proud of, and seeing several ideas finally become real. At the same time, getting sick in the middle of it all was a good reminder that even the most productive weeks still need room to slow down and recover.
はじめに グループIT推進本部 CyberAgent group Infrastructure Unit(以下、CIU)所属・Next Expertsの平井(@did0es)です。 CIUのサービスのWebフロントエンド開発に携わる傍ら、TypeScriptのNext Expertsとして情報発信や社内向けの技術支援を中心に活動しています。 本記事では、pnpm や bun への移行を検討する前...
こんにちは、ラクです。 2026年3月だけで、サプライチェーン攻撃が立て続けに発生しています。 3月19日: セキュリティスキャナTrivyのGitHub Actionsが侵害され、CIで実行するだけでSSH鍵やクラウドトークンが窃取される状態に 3月24日: Trivyの侵害を起点にPyPIのLiteLLMにも波及。数時間にわたり悪意あるバージョンが...
The npm client's default settings are a root cause of JavaScript's recurring supply chain security problems.
JSer.info #766 - TypeScript 6.0 RCがリリースされました。
TypeScript 7(Go言語ベース)への移行を見据えたリリースで、多くのデフォルト設定の変更や非推奨化が含まれています。strictがデフォルトでtrueに変更、moduleのデフォルトがesnextに変更、targetのデフォルトがes2025に変更など、既存のプロジェクトへの影響が大きい変更が含まれています。
また、target: es5/--moduleResolution node10/--module amd|umd|system/--outFileなどが非推奨化されています。
Solid v2.0.0…
A response to a GDPR data subject access request.
Comparing namespace models across npm, Maven, Go, Swift, and crates.io.
Come, I will show you what I have seen.
How Docker became JavaScript's real lockfile
npxはパッケージをインストールせずに実行できるという認識だったので、
という文言見て今さら不思議に思ったのでどういうものかと調べてみることにした。
厳密に言えば一時的にインストール(ダウンロード)される
パッケージをインストールせずに実行できる
というのはnpxでよくある説明でこれをそのまま受け取っていたけど、どうやら思っていたのとちょっと違った文脈だった。
node_modules ディレクトリに恒久的に追加されるわけではない
通常のnpm iのようにpackage.jsonに依存関係として追加されたり、グローバルに利用可能なコマンドとしてシステムに登録されたりするわけではないらしい。
実行後に自動的にクリーンアップされる、あるいはキャッシュされる
npxがダウンロードしたパッケージは、コマンドの実行が完了すると通常は自動的に削除されるか、次回以降の高速な実行のため…
The semver’s spec mentions a group called “buildMetadata”. If you’ve never heard of this before, you’re not alone
Dependabot is an automation service that will automatically create PRs to keep your projects' dependencies up to date, and it is really powerful.
This is a follow-up to my first post on the upcoming Promise.allSettled() function, coming soon to a node application near you.
Part 2 in a series of posts on destructuring syntax for JavaScript and Node.
If you're not careful, your node projects can start to fill all the spare disk space on your computer. This one weird trick (lol) can help avoid that.
I ran into this today. I had a pain of a time figuring out how to install a local NPM package for testing.
Here is a quick how to.
From the local package you want to install, package the module. You can do this via npm pack. This will create a tgz file of the package.
Change directories to where you want to install your test package. You can install the package via npm install…