今週(2026年6月1日〜6月5日)は新規リリース14件が確認されました。週を通じた最大のトピックは Angular v22.0.0 の正式メジャーリリースで、optional chaining の動作が JavaScript 仕様に準拠して undefined を返すよう変更されました。セキュリティ面では Next.js v16.2.6(高重大度5件)が週初から継続して対応必須となり、水曜日には Nuxt v4.4.7 のセキュリティホットフィックスも加わりました。Node.js 25 が週初に正式 EOL を迎え、Kubernetes 1.33 と Spring Boot 3.5 の月末 EOL も迫っています。
週間サマリーテーブル
| 指標 | 月(6/1) | 火(6/2) | 水(6/3) | 木(6/4) | 金(6/5) | 週合計 |
|---|---|---|---|---|---|---|
| Major | 0 | 1 | 1 | 1 | 0 | 3件 |
| Minor | 1 | 0 | 2 | 0 | 1 | 4件 |
| Patch | 0 | 1 | 3 | 0 | 1 | 5件 |
| Prerelease | 1 | 0 | 0 | 1 | 0 | 2件 |
| 合計 | 2 | 2 | 6 | 2 | 2 | 14件 |
※ 上記は各日の新規リリース件数です。Next.js v16.2.6 など重要度の高い更新は週を通じて継続的にアナウンスされました。
注目リリース TOP5
1. Angular v22.0.0 — optional chaining 仕様変更を含むメジャーリリース(6/4・6/5)
リリースタイプ: major | カテゴリ: frontend
Angular 22 の最大の注意点は ?. 演算子の動作変更です。これまで Angular テンプレート内で null を返すことがあった optional chaining 式が、JavaScript 仕様に準拠して必ず undefined を返すようになりました。someObj?.prop === null のような厳密等価チェックを含むテンプレートは動作が変わる可能性があります。
主な変更点:
?.演算子がundefinedを返すよう統一(破壊的変更)— これまでnullを返すケースがあったが、JS 仕様に合わせてundefinedへ統一- 安全ナビゲーション
?.後の nullable 型ナローイング改善 — TypeScript の型推論が正しく機能するようになり、?.後の型が適切に nullable として扱われる - HTML テンプレート内コメントサポート追加 — テンプレートの HTML 要素内でコメント記述が可能に
- dynamic import の abstract emitter コード生成バグ修正 — 不正なコードが生成されていた問題を修正
アップグレード前にテスト環境で === null チェック箇所を確認し、必要であれば == null(ゆるい等価)または === undefined を追加したチェックに修正してください。
ng update @angular/core@22 @angular/cli@22
2. Next.js v16.2.6 — 高重大度セキュリティ修正 5件(6/1〜継続)
リリースタイプ: prerelease | カテゴリ: frontend
週を通じて対応が呼びかけられた最重要セキュリティ修正です。App Router・Middleware・Server Components・Cache Components を使用するプロジェクトに影響する高重大度(High)の脆弱性が5件修正されています。
修正されたアドバイザリ:
- GHSA-8h8q-6873-q5fj — Server Components を利用した Denial of Service
- GHSA-267c-6grr-h53f — segment-prefetch ルート経由の Middleware/Proxy バイパス
- GHSA-26hh-7cqf-hhc6 — 上記バイパス修正の不完全性に対するフォローアップ修正
- GHSA-mg66-mrh9-m8jx — Cache Components を使ったコネクション枯渇 DoS
- GHSA-492v-c6pp-mqqv — Middleware/Proxy バイパス(追加修正)
Next.js 15 系には v15.5.18(後に v15.5.19)でバックポートが提供されています。Middleware で認証・アクセス制御を実装しているプロジェクトは特に優先度を高くして対応してください。
3. Nuxt v4.4.7 — セキュリティホットフィックス(6/3〜継続)
リリースタイプ: major(セキュリティホットフィックス) | カテゴリ: frontend
ディレクトリトラバーサルとプロトコルバイパスに関わる脆弱性が修正されました。Nuxt を本番運用しているすべてのプロジェクトで早急な対応が推奨されます。Nuxt 3 系にも同日 v3.21.7 がリリースされています。
修正内容:
- ビルドキャッシュパスに
patheのresolveを使用(#35111) — パス境界チェックを強化し、不正なパス指定によるディレクトリ外参照を防止 - テストコンポーネントラッパーでの兄弟ディレクトリトラバーサルを防止(#35110) — 意図しないディレクトリへのアクセスが可能だった問題を修正
reloadNuxtAppのパスでプロトコルを検証(#35115) — アプリ再ロード時の不正プロトコル注入を防ぐバリデーションを追加
npm install nuxt@4.4.7
4. Node.js v26.3.0 — Buffer.poolSize 倍増・macOS Universal Binary 廃止警告(6/2)
リリースタイプ: major | カテゴリ: language
Buffer.poolSize のデフォルト値が 32 KiB から 64 KiB に倍増しました。小さなバッファを大量に確保する I/O ヘビーなアプリケーションでアロケーションのオーバーヘッドが減少し、スループット改善が期待できます(Buffer.poolSize を明示的に設定しているプロジェクトは影響を受けません)。
また、将来的に macOS Universal Binary(Intel + Apple Silicon の組み合わせ)の配布が v26 系の全サポートライフタイムにわたって継続できない可能性があるとアナウンスされました。Intel Mac でビルドパイプラインを組んでいるチームは中長期的な Apple Silicon 移行を検討してください。なお同日 Node.js v24.16.0(LTS)もリリースされています。
5. React v19.2.7 — Server Actions FormData リグレッション修正(6/3〜)
リリースタイプ: minor | カテゴリ: frontend
v19.2.6 で発生した Server Actions における FormData エントリの欠落リグレッションが修正されています。v19.2.6 にアップデート後にフォーム送信が正常に動作しなくなった場合、このリリースで解消されます。破壊的変更はなく、安全なアップデートです。
npm install react@19.2.7 react-dom@19.2.7
EOL / サポート期限情報
🔴 今週 EOL 到来
| プロダクト | バージョン | EOL日 | ステータス |
|---|---|---|---|
| Node.js | 25 | 2026-06-01 | EOL済み |
Node.js 25(非 LTS)が 2026年6月1日をもってサポートを終了しました。本番環境での継続利用は避け、LTS バージョンへの即時移行が必要です。
- Node.js 24(LTS、EOL: 2028年4月)— 最新 LTS、推奨
- Node.js 22(LTS、EOL: 2027年4月)— 安定 LTS
⚠️ 今月末に EOL(要対応)
| プロダクト | バージョン | EOL日 | 週末時点の残り日数 |
|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 約23日 |
| Spring Boot | 3.5 | 2026-06-30 | 約25日 |
- Kubernetes 1.33: 1.34(EOL: 2026年10月)、1.35(EOL: 2027年2月)、または最新の 1.36(EOL: 2027年6月)へのアップグレードを今月中に完了させてください
- Spring Boot 3.5: Spring Boot 4.0(EOL: 2026年12月)への移行計画を今週中に確定させることを推奨します
⚡ 3ヶ月以内に EOL
| プロダクト | バージョン | EOL日 | 残り日数 |
|---|---|---|---|
| Nuxt | 3 | 2026-07-31 | 約56日 |
Nuxt 3 は 7月末に EOL を迎えます。今週リリースされたセキュリティ修正(v3.21.7)を適用しつつ、Nuxt 4 へのマイグレーション計画を早めに立てることを推奨します。
🔴 EOL 済み(参考)
| プロダクト | バージョン | EOL日 |
|---|---|---|
| Angular | 19 | 2026-05-19 |
Angular 19 は先月末に EOL となっています。今回の Angular 22.0.0 リリースに合わせ、v21 または v22 へのアップグレードを計画してください。
日別ダイジェスト
- 6/1(月): 2件 — Node.js 25 EOL到来当日・Next.js v16.2.6 セキュリティ修正が最優先
- 6/2(火): 2件 — Node.js v26.3.0 Buffer.poolSize 倍増・macOS Universal Binary 廃止警告
- 6/3(水): 6件 — Nuxt v4.4.7 セキュリティホットフィックス・React v19.2.7 FormData 修正が目玉
- 6/4(木): 2件 — Angular v22.0.0 正式メジャーリリース・Terraform v1.15.5 新規追加
- 6/5(金): 2件 — Astro 6.4.4・Docker v29.5.3 パッチ、Angular 22 / Next.js セキュリティ継続推奨
週間トレンド分析
フロントエンドでセキュリティ修正が集中
今週は フロントエンドフレームワーク が全リリースの約8割を占め、そのうち Next.js・Nuxt のセキュリティ修正が週全体を通した最重要事項でした。特に Next.js v16.2.6 は 5件の High 深刻度脆弱性を含み、月曜日から金曜日まで継続して対応が呼びかけられました。Middleware による認証・アクセス制御は多くの Next.js プロジェクトで基盤となる仕組みであり、バイパス可能な状態を放置することはリスクが高い点に注意が必要です。
Angular が v21 → v22 で大きな節目
Angular は今週 v22.0.0 を正式リリースし、最新版を v22 系に更新しました。optional chaining の動作変更は JavaScript 標準との整合性を高める改善ですが、既存コードへの影響確認が必要な 破壊的変更 である点が注目されます。Angular 19 が先月 EOL となっていることも踏まえると、古いバージョンを使用しているプロジェクトにとって今週は移行を真剣に検討すべきタイミングといえます。
Node.js の EOL サイクルが重なる時期
Node.js 25 が週初に正式 EOL を迎えました。非 LTS バージョン(奇数番号)は半年程度でサポートが切れるため、本番環境では LTS 版(偶数バージョン)を使用することが引き続き重要です。Node.js v26.3.0 の Buffer.poolSize 変更は実用的な性能改善で、v26 系を使用しているチームには良いアップデートです。
インフラの EOL 締め切りが来月に集中
Kubernetes 1.33 と Spring Boot 3.5 がともに今月末に EOL を迎えます。どちらも広く使われているプロダクトのため、移行計画が固まっていないチームは今週中に作業を開始することを推奨します。Nuxt 3 の EOL(7月末)も合わせると、6〜7月はインフラ・フレームワーク双方での EOL 対応が重なる時期となります。
まとめ・来週の注目ポイント
今週の最優先アクション 3点は以下の通りです。
- Next.js v16.2.6 — 高重大度セキュリティ修正(5件)が未適用であれば今週末中に対応。Middleware で認証を実装しているプロジェクトは特に優先度を高くしてください
- Nuxt v4.4.7(v3.21.7) — ディレクトリトラバーサル・プロトコルバイパス修正。Nuxt 3 利用者は v3.21.7 も対象
- Angular 22.0.0 — optional chaining の動作変更を確認。テンプレートに
=== nullがある場合は== nullまたは=== undefinedへ修正
来週の注目ポイントとしては、Kubernetes 1.33 と Spring Boot 3.5 の EOL が月末(28日・30日)に迫るため、インフラチームの移行進捗が焦点になります。Next.js 16.3.0 の canary がすでに canary.40 まで進んでいるため、次期マイナーリリースの動向にも注目です。また Angular 22 に対応した周辺ライブラリ(Angular Material など)のアップデート状況も合わせて確認しておくと良いでしょう。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。