はじめに

こんにちは！Frontendチームの西野です。先月から始まった フロントエンドニュースまとめ、今月は私が担当します。最近気になったフロントエンド周辺のニュースをまとめていきます！

Node.js 26.0.0 (Current)

• 次期 LTS の Current リリース
• Temporal が追加された 🎉

pnpm 11.0

• サプライチェーン攻撃を防ぐ設定がデフォルトでオンになった
• pnpm publish などがnpm CLIに依存しなくなった
• pnpmの設定は .npmrc ではなく pnpm-workspace.yaml に書くようになった

Release v16.2.6 · vercel/next.js

• Vercel が 10 件の脆弱性を公開、Next.js のセキュリティアップデートがリリースされた
• ミドルウェア / プロキシバイパス（App Router、Pages Router、i18n 経路）、WebSocket 経由の SSRF、DoS、XSS、キャッシュポイズニングなどが修正対象

Release v1.60.0 · microsoft/playwright

• ファイルや任意データの外部ドラッグ＆ドロップをシミュレートする locator.drop() が追加された
• HAR 記録を Tracing API として扱える tracing.startHar() / tracing.stopHar() が追加された
• フィクスチャ・フック・ルートハンドラからテストを即座に中断できる test.abort() が追加された
• expect(locator).toMatchAriaSnapshot() だけでなく expect(page).toMatchAriaSnapshot() も使えるようになった

Storybook 10.4

• 個人的に気になった機能
  • Change detection: 新しく作ったストーリーや変更があったストーリーのみなどにフィルタリングして表示できる
  • React Component Meta for MCP: react-docgen や react-docgen-typescript の代替となる react-component-meta

Bun v1.3.14

• Bunでの画像処理が可能になった（しかも、ネイティブモジュールの追加も不要！）
  • S3にも連携しやすくなっている
• ZigからRustへの移行が進行中であり、最後のZig製のBunになるかも？

Rewrite Bun in Rust

• 元々 Zig で書かれていた Bun を Rust へ大規模リライトする PR がマージされた
• 差分100万行超えのPRが人間のレビューをほとんど介さずに約6日間というスピード感で作成→マージされたことが話題に

Remix 3 Beta Preview

• フルスタック Web フレームワーク Remix のベータ版リリース
• v1/v2 の「センタースタック」から脱却し、ルーティング・認証・セッション・フォーム・アセット管理など全てを remix に集約したフルスタックフレームワークを目指す
• Fetch API ベースの Web 標準設計と、バンドラーへの依存を排した「アンバンドリング」アーキテクチャを採用

React Review

• React DoctorのGitHub App版（レビューBot）
  • React Doctor: Reactのコードを採点してくれる

Postmortem: TanStack npm supply-chain compromise

• 2026年5月11日に起きたTanStackのnpmパッケージへのサプライチェーン攻撃のポストモーテム
• pull_request_target の悪用・GitHub Actions キャッシュポイズニング・OIDC トークン抽出を連鎖させ、@tanstack/router / start-* 系 42 パッケージの npm install 時に各種認証情報が窃取される可能性があった

Hardening TanStack After the npm Compromise

• 上記のTanStackのポストモーテムの対応内容
• 即時対応として pull_request_target の全廃・キャッシュ無効化・Actions の SHA ピン留め・SMS 2FA 廃止などを実施し、今後の対策として zizmor の導入や actions/cache/restore への移行などを予定

mohsen1/tsz

• Rust製の tsc
• Go言語実装になる前の tsc が遅いというのは以前から言われており、dudykr/stcなどが生まれていた
  • TypeScriptの実装に追従していくのが難しいという理由で開発が終了になっている
• 今後はAIパワーでRust置き換えがより増えていく？

Zero

• 人間と AI エージェントがコードを一緒に読み・修正・リリースすることを前提に設計されたシステム言語
• Bun の Rust リライトなどに触発され、3,000 以上のエージェントタスクを経て約 3 日で作られた実験的プロジェクト
• 強制 GC なし・小さなバイナリ・明示的なメモリ管理を基本設計とし、JSON 診断と型付き修正メタデータをツールチェーンに標準搭載

講評

• 先月に引き続きフロントエンドエコシステムに対する攻撃が多いが、対策も多く公開されてきているので今一度GitHub Actionsやpnpmの設定を見直したい
• AIパワーで既存ツールの大規模リライトだったり言語やフレームワークの開発だったりが活発になってきた

採用情報

Frontendチーム、絶賛採用中です！カジュアル面談もお待ちしています！

• 採用情報
• カジュアル面談お申し込みフォーム