本文へスキップ
Best AI Service

#OIDC

OIDC に関連する比較記事をまとめています。 関連カテゴリ: AIツール

First read

このタグで最初に読む 1 本

npm staged publishing GA|2FA承認フローと --allow-remote 追加で CI/CD をどう見直すか

npm staged publishing が一般提供され、npm install には --allow-remote などの新しい制御も加わりました。CI publish、OIDC trusted publishing、依存取得ポリシーをどこから見直すべきかを整理します。

この記事から入る

続けて読むと比較しやすい記事

npm staged publishing GA|2FA承認フローと --allow-remote 追加で CI/CD をどう見直すか
AIツール 主軸テーマ GitHub Changelog で npm staged publishing GA と、--allow-file、--allow-remote、--allow-directory の追加を確認 staged publishing は npm CLI 11.15.0 以降で使え、CI から npm stage publish した後に maintainer が 2FA で承認する流れを取れる

npm staged publishing GA|2FA承認フローと --allow-remote 追加で CI/CD をどう見直すか

npm staged publishing が一般提供され、npm install には --allow-remote などの新しい制御も加わりました。CI publish、OIDC trusted publishing、依存取得ポリシーをどこから見直すべきかを整理します。

最終確認: 2026年5月23日 根拠: 更新内容を再確認 比較タイプ: 製品比較

Verdict: 先にやるべきなのは、CI の npm publish をすぐ置き換えることではなく、stage-only に寄せられる package と、--allow-remote=none でも壊れない install job を仕分けることです。そこが見えれば、publish 側も install 側も小さく安全に移行できます。

誰向け
チーム導入 / 開発者向け
価格感
価格確認あり
導入難易度
最終確認
2026年5月23日
根拠
更新内容を再確認

確認リンク

GitHub Changelog - Staged publishing and new install-time controls for npm npm Docs - Staged publishing for npm packages npm Docs - Trusted publishing for npm packages

npm の今回の更新で見るべきなのは、publish を止める場所と install を絞る場所が増えたことです。CI からは stage queue まで上げ、人間が 2FA で最後に出す運用へ寄せつつ、remote tarball や local path を今の workflow でどこまで禁止できるかを早めに点検したほうが安全です。

#npm #CI
比較を見る
GitHub Dependabot OIDC support update|Cloudsmith / Google Artifact Registry を org-wide private registry に足す前に確認すべきこと
AIツール 主軸テーマ 2026-05-19 の GitHub changelog で、Dependabot と code scanning の org-level private registry 向け OIDC 対応レジストリに Cloudsmith と Google Artifact Registry が追加されたことを確認 GitHub Docs で、org-level private registry は Token / Username and password / OIDC を選べること、Cloudsmith と Google Artifact Registry の必須入力項目を確認

GitHub Dependabot OIDC support update|Cloudsmith / Google Artifact Registry を org-wide private registry に足す前に確認すべきこと

GitHub が Dependabot の org-level private registry OIDC 対応を Cloudsmith と Google Artifact Registry まで拡大。長寿命 secret を減らせる一方、code scanning default setup の docs 注記や registry 定義の作り直しも先に確認が必要です。

最終確認: 2026年5月22日 根拠: 公式ブログ + docs 再確認 + 編集部比較 比較タイプ: 運用分析

Verdict: Cloudsmith か Google Artifact Registry を使っているなら、まず org-level private registry を OIDC 前提で作り直す価値があります。ただし docs では OIDC が Dependabot 向けと明記されているため、code scanning default setup も同じ前提で動くと決め打ちせず、切り替え範囲を分けて確認するのが安全です。

誰向け
チーム導入
価格感
Enterprise寄り
導入難易度
最終確認
2026年5月22日
根拠
公式ブログ + docs 再確認 + 編集部比較

Cloudsmith や Google Artifact Registry を使う組織は、Dependabot の private registry 認証を長寿命 token から短命 credential に寄せやすくなりました。いま見るべきなのは、registry 定義の作り直し、権限設計、そして code scanning 側の docs 注記です。

#GitHub #Dependabot
比較を見る