今週は監視対象リポジトリから合計22件の新規リリースが確認されました。最大のトピックは TypeScript v6.0.2 の安定版リリースです。5.9 系から 6.0 へのメジャーバージョンアップが npm の latest タグに昇格し、新規インストール時に自動的に 6.0 が導入されるようになりました。
セキュリティ面では、Node.js v25.8.2 が CVE 9件(High 2件含む)、Rails v8.1.2.1 が CVE 6件、Docker v29.3.1 が AuthZ プラグインのバイパス修正を含むなど、インフラ・バックエンドを中心にセキュリティパッチが集中した週でした。Rust 1.94.1 も Cargo の tar クレートに関する CVE 2件を修正しており、幅広いエコシステムでセキュリティ対応が求められる一週間となりました。
週間サマリー
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| Major | - | - | - | 1 | 2 | 3件 |
| Minor | - | 3 | 2 | 2 | 1 | 8件 |
| Patch | - | 2 | - | 1 | 2 | 5件 |
※ プレリリース6件を除く。月曜日は新規リリースなし(EOL・エコシステム定点観測日)
注目リリース TOP5
TypeScript v6.0.2 — 6.0 安定版リリース
- リリースタイプ: major(5.9 → 6.0)
- 掲載日: 3/24(火)
- 主な変更点: TypeScript 6.0 の安定版がついにリリースされました。Beta → RC を経て v6.0.2 が stable として公開されています。npm の
latestタグが5.9.3→6.0.2に更新されたため、npm install typescriptで 6.0 がインストールされるようになっています。公式アナウンスブログで詳細が公開されています。プロジェクトの互換性を確認してからアップデートしましょう。
Node.js v25.8.2 — CVE 9件のセキュリティリリース
- リリースタイプ: major(セキュリティ修正)
- 掲載日: 3/26(木)
- 主な変更点: Node.js の全アクティブライン(v25 / v24 / v22 / v20)に対して同時にリリースされたセキュリティパッチです。High: CVE-2026-21637(
SNICallbackクラッシュ防止)、CVE-2026-21710(headersDistinctプロトタイプ汚染防止)の2件。Medium: パーミッションモデルバイパス修正やタイミングセーフ比較の追加など5件。Low:realpath.native/lib/fs/promisesのパーミッションチェック追加2件。パーミッションモデル(--experimental-permission)を使用している環境では特に注意が必要です。
Rails v8.1.2.1 — CVE 6件のセキュリティパッチ
- リリースタイプ: minor(セキュリティ修正)
- 掲載日: 3/24(火)
- 主な変更点: CVE-2026-33167(DebugExceptions の XSS 脆弱性)、CVE-2026-33168(タグヘルパーの空属性名による HTML 不正生成)、CVE-2026-33169(NumberToDelimitedConverter のパフォーマンス改善)、CVE-2026-33170(SafeBuffer#% の安全でないステータス保持)、CVE-2026-33173(DirectUploadController のメタデータフィルタリング)、CVE-2026-33176(NumberConverter の科学的記数法の拒否)の6件を修正。v8.0.4.1 と v7.2.3.1 も同時リリースされています。翌日には v8.1.3 のバグ修正リリースも公開されました。
Docker v29.3.1 — AuthZ バイパスなどセキュリティ修正
- リリースタイプ: patch(セキュリティ修正)
- 掲載日: 3/26(木)
- 主な変更点: CVE-2026-34040(AuthZ プラグインの認証バイパス)、CVE-2026-33997(
docker plugin installの権限検証バイパス)、CVE-2026-33748 の修正を含みます。AuthZ プラグインを利用している環境では早急な対応が推奨されます。
Rust 1.94.1 — Cargo tar CVE 2件修正
- リリースタイプ: patch(セキュリティ修正)
- 掲載日: 3/27(金)
- 主な変更点: Cargo の tar クレートを 0.4.45 に更新し、CVE-2026-33055 と CVE-2026-33056 を修正。crates.io 経由の利用では影響を受けませんが、ローカルで tar 操作を行う場合は注意が必要です。Clippy の
match_same_armsICE 修正や、wasm32-wasip1-threadsでのstd::thread::spawn修正も含まれています。
その他の主要リリース
バックエンド系
- Laravel v13.2.0 — Queue / Connection 属性での Enum サポート、SQL バインディング置換のパフォーマンス改善。3月17日リリースの v13 系に着実な機能追加が続いています
- Rails v8.1.3 — Active Support の JSON シリアライズ修正、重複する頭字語のインフレクション改善、Dalli 4.0+ 使用時の MemCacheStore 警告抑制など多数のバグ修正
- Spring Boot v4.0.5 — WebSocket アプリの起動失敗修正、Spring Integration テストスターター修正、メタデータアノテーションプロセッサの修正
- FastAPI v0.135.2 — Pydantic の最低バージョンが
>=2.9.0に引き上げ
フロントエンド系
- Svelte v5.55.0 —
svelte/motionからTweenOptions、SpringOptions等の型エクスポート追加。HMR ラッパーの修正も含む - Vue v3.5.31 — 安定版メンテナンスリリース。Vue 3.6.0 は beta.9 まで進行中
- Angular v21.2.6 — auto sizes 使用時の画像の冗長なフェッチ回避、CSS コメントの余分な空行修正、animate.leave リグレッション修正
ツール・インフラ系
- Terraform v1.14.8 — プロバイダアップグレード後のクラッシュ修正。1.15.0 は beta1 段階
- Vite v8.0.2 — 8.0 系パッチ修正
- Astro create-astro@5.0.4 — Windows 環境での依存インストール失敗修正
EOL / サポート期限情報
EOL が近づいているプロダクト
| プロダクト | バージョン | EOL 日 | 残り | 移行先 |
|---|---|---|---|---|
| Django | 4.2 (LTS) | 2026-04-30 | 約34日 | Django 5.2 LTS(5.2.12) |
| Angular | 19 | 2026-05-19 | 約53日 | Angular 20(20.3.18)/ 21(21.2.6) |
| Node.js | 25 (Current) | 2026-06-01 | 約66日 | Node.js 24 LTS(24.14.1) |
Django 4.2 LTS は来月末にサポート終了です。Django 5.2 LTS への移行には Python 3.12 以上が必要になるため、ランタイム環境の確認とあわせて計画を立てましょう。
直近で EOL を迎えたプロダクト
| プロダクト | バージョン | EOL 日 | 移行先 |
|---|---|---|---|
| Laravel | 11 | 2026-03-12 | Laravel 12 / 13(13.2.0) |
| Rust | 1.93 | 2026-03-06 | Rust 1.94.1 |
| Kubernetes | 1.32 | 2026-02-28 | 1.33(1.33.10)以降 |
| Tailwind CSS | 4.1 | 2026-02-18 | Tailwind CSS 4.2(4.2.2) |
| Go | 1.24 | 2026-02-11 | Go 1.25(1.25.8)/ 1.26(1.26.1) |
Laravel 11 は3月12日に EOL を迎え、Laravel 12 または 13 への移行が推奨されます。今週 v13.2.0 がリリースされ、Queue 属性での Enum サポート等の機能追加が進んでいます。
日別ダイジェスト
- 3/23(月): 0件 — リリースなし、EOL・エコシステム定点観測
- 3/24(火): 6件 — TypeScript 6.0安定版リリース、Rails CVE6件修正が目玉
- 3/25(水): 3件 — Laravel v13.2.0機能追加、Rails v8.1.3バグ修正
- 3/26(木): 5件 — Node.js CVE9件セキュリティリリース、Docker AuthZ修正
- 3/27(金): 8件 — Rust 1.94.1 CVE修正、Spring Boot v4.0.5 WebSocket修正
まとめ・来週の注目ポイント
今週はセキュリティ対応が目立つ一週間でした。Node.js(CVE 9件)、Rails(CVE 6件)、Docker(AuthZ バイパス)、Rust(Cargo tar CVE 2件)と、バックエンド・インフラ系を中心にセキュリティパッチが集中しています。これらを利用中のプロジェクトでは、早めのアップデートを推奨します。
機能面では TypeScript 6.0 の安定版リリースが最大のトピックです。npm の latest タグが更新されたため、新規プロジェクトでは自動的に 6.0 が導入されます。既存プロジェクトでは互換性テストを進めておくと良いでしょう。来週は Vue 3.6.0 の beta が順調に進行中(beta.9 まで到達)で、正式リリースに向けた動向に注目です。Angular 22 の next も 22.0.0-next.5 まで進んでおり、次期メジャーの開発が活発に続いています。Spring Boot v4.1.0 は M4(マイルストーン4)段階で、こちらも進捗を見守りたいところです。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。