AIツール 主軸テーマ GitHub Changelog で npm staged publishing GA と、--allow-file、--allow-remote、--allow-directory の追加を確認 staged publishing は npm CLI 11.15.0 以降で使え、CI から npm stage publish した後に maintainer が 2FA で承認する流れを取れる
npm staged publishing GA|2FA承認フローと --allow-remote 追加で CI/CD をどう見直すか
npm staged publishing が一般提供され、npm install には --allow-remote などの新しい制御も加わりました。CI publish、OIDC trusted publishing、依存取得ポリシーをどこから見直すべきかを整理します。
最終確認: 2026年5月23日
根拠: 更新内容を再確認
比較タイプ: 製品比較
Verdict: 先にやるべきなのは、CI の npm publish をすぐ置き換えることではなく、stage-only に寄せられる package と、--allow-remote=none でも壊れない install job を仕分けることです。そこが見えれば、publish 側も install 側も小さく安全に移行できます。
- 誰向け
- チーム導入 / 開発者向け
- 価格感
- 価格確認あり
- 導入難易度
- 高
- 最終確認
- 2026年5月23日
- 根拠
- 更新内容を再確認
確認リンク
npm の今回の更新で見るべきなのは、publish を止める場所と install を絞る場所が増えたことです。CI からは stage queue まで上げ、人間が 2FA で最後に出す運用へ寄せつつ、remote tarball や local path を今の workflow でどこまで禁止できるかを早めに点検したほうが安全です。
比較を見る