2026-04-06のJS: TypeScript 6.0、ES2026 RC、axiosサプライチェーン攻撃
JSer.info #768 - TypeScript 6.0がリリースされました。 Announcing TypeScript 6.0 - TypeScript 現在のJavaScriptコードベースによる最後のリリースで、Goで書き直されたTypeScript 7.0への移行を準備するリリースとなっています。strictがデフォルトでtrueに、targetのデフォルトがes2025に、moduleのデフォルトがesnextに変更されています。target: es5や--moduleResolution node(node10)、--outFileなどが非推奨となりエラーに変更されました。新しい機能として、es2025ターゲットの追加、Temporal APIの型定義、Map/WeakMapのgetOrInsert()/getOrInsertComputed()メソッドの追加、TypeScript 7.0の型順序に合わせる--stableTypeOrderingフラグの追加などが含まれています。 ECMAScript 2026のRelease Candidateが公開されました。 Release ES2026 Candidate March 31st 2026 · tc39/ecma262 TC39によって2026年3月に承認され、2026年6月のEcma General Assemblyでの承認を経て正式リリースとなる予定です。ES2026には、Array.fromAsync、JSON.parse source text access、Iterator Sequencing、Uint8ArrayのBase64変換、Math.sumPrecise、Error.isError、Upsert(Map.prototype.getOrInsert)などが含まれる予定です。 axiosのnpmパッケージに対するサプライチェーン攻撃が発生しました。 axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity Attackers Are Hunting High-Impact Node.js Maintainers in a C... The Hidden Blast Radius of the Axios Compromise - Socket ソーシャルエンジニアリングによりメンテナーアカウントが乗っ取られ、悪意のあるaxios@1.14.1とaxios@0.30.4が公開されました。これらのバージョンにはplain-crypto-jsというマルウェアが依存関係として追加されており、postinstallフックを通じてmacOS/Windows/Linux向けのRemote Access Trojan(RAT)をインストールする仕組みになっていました。 影響を受けたかどうかの確認方法は次のページにまとめられています。 Am I affected? - StepSecurity JSer.infoをサポートするには 😘 知り合いにJSer.infoをおすすめする ❤️ GitHub Sponsorsで@azuのスポンサーになる 🐦 X(Twitter)で@jser_infoをフォローする JSer.info Sponsors JSer.info SponsorsはGitHub SponsorsとしてJSer.infoを支援してくれている方々です。 ヘッドライン Announcing TypeScript 6.0 - TypeScript devblogs.microsoft.com/typescript/announcing-typescript-6-0/ TypeScript ReleaseNote TypeScript 6.0リリース。 strictがデフォルトでtrueに、targetのデフォルトがes2025に、moduleのデフォルトがesnextに変更。 target: es5、--moduleResolution node(node10)、--outFile、--esModuleInterop falseなどが非推奨となりエラーに変更。 es2025ターゲットの追加、Temporal APIの型定義の追加、Map/WeakMapのgetOrInsert()/getOrInsertComputed()メソッドの追加。 #/のサポート、--moduleResolution bundlerと--module commonjsの組み合わせをサポート。 --stableTypeOrderingフラグの追加など WebKit Features for Safari 26.4 | WebKit webkit.org/blog/17862/webkit-features-for-safari-26-4/ safari browser CSS WebTransport WebAuthentication ReleaseNote Safari 26.4リリース。 @containerクエリのサポート。 font-size: mathとmath-depthプロパティのサポート。 Iterator.concat()のサポート。 <img>のsizes属性でのmath関数(min()/max()/clamp())のサポート、SVGのlighter合成演算子のサポート。 Release v20.0.0 · raineorshine/npm-check-updates github.com/raineorshine/npm-check-updates/releases/tag/v20.0.0 npm Tools ReleaseNote npm-check-updates v20.0.0リリース。 Release ES2026 Candidate March 31st 2026 · tc39/ecma262 github.com/tc39/ecma262/releases/tag/es2026-candidate-2026-03-31 ECMAScript spec ReleaseNote ECMAScript 2026のRelease Candidateが公開された。 Release v15.0.0 · sindresorhus/got github.com/sindresorhus/got/releases/tag/v15.0.0 nodejs HTTP library ReleaseNote Got v15.0.0リリース。 promise.cancel()を削除しAbortControllerのsignalオプションに移行、isStreamオプションの削除。 responseType: 'buffer'がBufferの代わりにUint8Arrayを返すように変更。 strictContentLengthのデフォルトをtrueに変更。 Release 4.18.0 · lodash/lodash github.com/lodash/lodash/releases/tag/4.18.0 lodash JavaScript library security ReleaseNote lodash 4.18.0リリース。 _.unsetと_.omitのPrototype Pollutionの脆弱性を修正、_.templateのコードインジェクションの修正。 lodash.unsetやlodash.templateなどの個別パッケージが古いままだったのを修正して再公開。 Node.js — Node.js 25.9.0 (Current) nodejs.org/en/blog/release/v25.9.0 nodejs ReleaseNote Node.js v25.9.0リリース。 defaultExportとnamedExportsオプションをexportsオプションに統合。 --max-heap-sizeフラグの追加、Web CryptoでTurboSHAKEとKangarooTwelveアルゴリズムのサポート。 stream/iterモジュールの追加。 AsyncLocalStorageにusingスコープの追加、REPLでのカスタムエラーハンドリングのサポートなど。 Release v5.0.0 · lerna-lite/lerna-lite github.com/lerna-lite/lerna-lite/releases/tag/v5.0.0 monorepo Tools ReleaseNote lerna-lite v5.0.0リリース。 --remove-package-fieldsオプションの削除。 アーティクル Storybook MCP for React storybook.js.org/blog/storybook-mcp-for-react/ storybook MCP React article Storybook MCPサーバについて。 Node.js — Security Bug Bounty Program Paused Due to Loss of Funding nodejs.org/en/blog/announcements/discontinuing-security-bug-bounties nodejs security article Node.jsのセキュリティバグバウンティプログラムの一時停止について。 Signals, the push-pull based algorithm — Willy Brauner willybrauner.com/journal/signal-the-push-pull-based-algorithm JavaScript article Signalにおけるpush-pullベースのリアクティブアルゴリズムについての解説記事。 Core JavaScript and TypeScript Features Become Free in IntelliJ IDEA | The IntelliJ IDEA Blog blog.jetbrains.com/idea/2026/03/js-ts-free-support/ JetBrains IDE JavaScript TypeScript IntelliJ IDEA v2026.1で、JavaScript/TypeScript/HTML/CSSのコア機能が無料で利用可能に。 axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan npm security article axiosのnpmパッケージに対するサプライチェーン攻撃について。 axios@1.14.1とaxios@0.30.4が公開された。 plain-crypto-jsというマルウェアが依存関係として追加されている。 Attackers Are Hunting High-Impact Node.js Maintainers in a C... The Hidden Blast Radius of the Axios Compromise - Socket サイト、サービス、ドキュメント Introducing EmDash — the spiritual successor to WordPress that solves plugin security blog.cloudflare.com/emdash-wordpress/ cloudflare CMS TypeScript astro security OpenSource wordpress CloudflareによるサーバーレスCMS。 vercel-labs/emulate: Local API emulation for CI and no-network sandboxes github.com/vercel-labs/emulate vercel API testing CI Tools nodejs server Vercel/GitHub/Google/Slack/AWS(S3/SQS)などのAPIをローカルでエミュレートするツール。 ソフトウェア、ツール、ライブラリ関係 ArrowJS — The first UI framework for the agentic era arrow-js.com/ JavaScript TypeScript WebAssembly library ビルドステップなしで動作する軽量なUIフレームワーク。reactive、html、componentの3つの関数で構成される。 書籍関係 React本格入門 | 技術評論社 gihyo.jp/book/2026/978-4-297-15523-0 React book 2026年4月15日発売。 React 19をベースにした入門書。
