今週(2026年6月8日〜12日)のOSSリリースは合計23件でした。今週を通じての最重要トピックは Next.js v16.2.6 のセキュリティ修正(High深刻度5件)と Angular v22.0.1 のプロトタイプ汚染修正の2点です。また Kubernetes 1.33 の EOL(6月28日)まで残り16日、Spring Boot 3.5(6月30日)まで18日と、今月末の移行期限が今週も継続して最重要アラートでした。週を通じてパッチリリースが多く、バグ修正での安定化が中心の週と言えます。来週はいよいよ EOL 対応の最終確認週となります。
週間サマリーテーブル
| 指標 | 月(6/08) | 火(6/09) | 水(6/10) | 木(6/11) | 金(6/12) | 週合計 |
|---|---|---|---|---|---|---|
| Major | - | - | - | - | 1 | 1件 |
| Minor | - | - | 1 | 1 | 2 | 4件 |
| Patch | - | 2 | 5 | 4 | 1 | 12件 |
| Prerelease | 1 | 2 | - | - | 3 | 6件 |
| 合計 | 1 | 4 | 6 | 5 | 7 | 23件 |
注目リリース TOP5
1. Next.js v16.2.6 → v16.2.9 — High深刻度セキュリティ修正5件
リリースタイプ: セキュリティパッチ → dist-tag修正
初出日: 2026-06-08
週のはじめから継続して最優先対応を要した最重要リリースです。v16.2.6 は App Router・Cache Components・Middleware に関する High 深刻度セキュリティ脆弱性5件を修正しています。
| Advisory | 概要 |
|---|---|
| GHSA-8h8q-6873-q5fj | Server Components を使用した Denial of Service |
| GHSA-267c-6grr-h53f | segment-prefetch ルート経由の Middleware/Proxy バイパス |
| GHSA-26hh-7cqf-hhc6 | 上記の不完全修正フォローアップ |
| GHSA-mg66-mrh9-m8jx | Cache Components 利用時の接続枯渇 DoS |
| GHSA-492v-c6pp-mqqv | Middleware/Proxy バイパス(動的ルートパラメータインジェクション) |
その後 v16.2.9 では npm の dist-tag を修正(機能変更なし)。npm install next@latest で v16.2.9 がインストールされ、セキュリティ修正はすべて含まれています。未対応のプロジェクトは早急にアップデートしてください。
2. Angular v22.0.1 — プロトタイプ汚染を含むセキュリティ修正
リリースタイプ: セキュリティパッチ
初出日: 2026-06-12
Angular 22 のファーストパッチで、セキュリティ上重要な修正を複数含んでいます。特に formatDateTime のプロトタイプ汚染修正(悪意ある入力でオブジェクトプロトタイプが汚染される脆弱性)は、日時フォーマット処理を使用しているすべてのアプリケーションに影響します。また transfer cache キーへの暗号論的に安全な SHA-256 の採用と CSS インジェクションリスクの軽減も含まれています。Angular 22 利用者は早めの適用を推奨します。
3. Laravel v13.15.0 — 無限再帰バグ修正・クラウドキュー追加
リリースタイプ: マイナーリリース
初出日: 2026-06-10
Laravel 13 系のマイナーリリースで、実運用に影響するバグ修正が複数含まれています。モデルスコープとミドルウェアグループの無限再帰バグが修正されており、特定の条件で発生していたスタックオーバーフローが解消されます。さらにクラウドキュー機能が 13.x にバックポートされ、クラウド環境でのデバッグ容易性も向上しています。破壊的変更はなく、Laravel 13 系利用者は定期アップデートとして適用してください。
4. Spring Boot v4.1.0 — 4.x 系初のマイナーリリース
リリースタイプ: マイナーリリース
初出日: 2026-06-12
Spring Boot 4.x 系の初マイナーリリースです。InvalidConfigurationPropertyValueException への cause コンストラクタ追加、WritableJson.toByteArray のメモリ消費削減、MailSender 自動設定の TLS ホスト名検証修正などが含まれています。Breaking Changes は含まれていません。また今週 EOL が迫る Spring Boot 3.5 からの移行先として、4.0 系に加えて 4.1 系 も選択肢に入りました。Java 17 以上が必要な点に注意してください。
5. Terraform v1.15.6 — CI/CDパイプラインに影響するバグ修正
リリースタイプ: パッチリリース
初出日: 2026-06-11(6/12にも記載)
removed ブロックのリソースが terraform plan -json の planned_values に誤表示される問題を修正しており、CI/CD パイプラインで terraform plan -json を使用しているプロジェクトに特に有益です。terraform console でのパニック、変数エラー時の exit code 修正、sensitive/ephemeral なモジュールソースのエッジケース修正も含まれています。
EOL / サポート期限情報
⚠️ 今月末 EOL — 最終警告
| プロダクト | バージョン | EOL 日 | 週末時点残り | 移行先 |
|---|---|---|---|---|
| Kubernetes | 1.33 | 2026-06-28 | 15日 | 1.34〜1.36 |
| Spring Boot | 3.5 | 2026-06-30 | 17日 | 4.0 or 4.1 |
Kubernetes 1.33 は 6月28日、Spring Boot 3.5 は 6月30日に EOL を迎えます。今週が移行計画を実行に移す最後のチャンスです。Kubernetes は 1.34〜1.36 への移行、Spring Boot は今週リリースされた 4.1.0 または 4.0.x へのアップグレードを進めてください。
Kubernetes 移行手順:
kubectl versionで現在のバージョンを確認- コントロールプレーンを 1.34 以上にアップグレード
- ワーカーノードを順次更新
- 廃止済み API の利用状況を確認(
kubectl api-resourcesなど)
🔴 EOL 済み
| プロダクト | バージョン | EOL 日 |
|---|---|---|
| Node.js | 25 | 2026-06-01 |
| Angular | 19 | 2026-05-19 |
Node.js 25 は 2026年6月1日にサポートが終了しています。LTS の Node.js 24(EOL: 2028年4月)または Node.js 22(EOL: 2027年4月)への移行を推奨します。
⚡ 3ヶ月以内に EOL
| プロダクト | バージョン | EOL 日 | 週末時点残り |
|---|---|---|---|
| Nuxt | 3 | 2026-07-31 | 49日 |
Nuxt 3 は 2026年7月31日に EOL 予定。安定版の Nuxt 4(v4.4.8)が利用可能で、nuxi migrate コマンドによる移行ガイドが提供されています。
週間トレンド分析
フロントエンド中心のリリース週
今週は23件中フロントエンド系が中心でした。Next.js、Angular、Svelte、Astro、Nuxt、Vue と主要フロントエンドフレームワークが揃ってアップデートされた週です。特に Next.js と Angular でのセキュリティ修正が重なり、フロントエンドチームへの対応負荷が集中する週となりました。
セキュリティ修正が週を通じて継続
月曜の Next.js v16.2.6 のセキュリティ修正に始まり、金曜の Angular v22.0.1 のプロトタイプ汚染修正まで、今週はセキュリティ関連のアップデートが複数継続した週でした。今後も週に1〜2件のセキュリティパッチが混在するペースが想定されます。定期的なアップデートサイクルの確立が重要です。
バックポートと dist-tag 修正の増加
Next.js v16.2.9 は機能変更なしの dist-tag 修正という特殊なリリースでした。npm の Trusted Publishing 移行に伴うリリースフロー変化が今後も続く可能性があります。npm install next@latest で常に最新安定版を取得できるよう、パッケージ管理の仕組みが整理されつつあります。
インフラ系も活発
Terraform v1.15.6 と Kubernetes v1.36.1 がリリースされ、インフラ層でも定期的なアップデートが続いています。特に Terraform は CI/CD パイプラインへの影響修正を含んでいたため、IaC を利用しているチームは適用を推奨します。
日別ダイジェスト
- 6/08(月): 1件 — Next.js v16.2.6 High深刻度セキュリティ修正5件、K8s 1.33 EOL残り20日
- 6/09(火): 4件 — Svelte 5.56.3・NestJS v11.1.26・Astro 6.4.4 バグ修正パッチ、K8s EOL残り19日
- 6/10(水): 6件 — Laravel v13.15.0マイナー・Nuxt v4.4.8 macOSホットフィックス・Astro 6.4.5
- 6/11(木): 5件 — Terraform v1.15.6バグ修正・Next.js v16.2.9 dist-tag修正、K8s EOL残り17日
- 6/12(金): 7件 — Angular v22.0.1セキュリティ修正・Spring Boot v4.1.0マイナー・Vue v3.5.38・K8s v1.36.1
まとめ・来週の注目ポイント
今週はセキュリティ対応と EOL 準備が同時進行した週でした。最優先の対応は2つ:Next.js v16.2.9 へのアップデート(High深刻度5件の修正を含む最新安定版)と Angular v22.0.1 へのアップデート(プロトタイプ汚染修正を含むセキュリティパッチ)です。どちらも Breaking Changes はなく、テスト環境での検証後すみやかに本番適用することを推奨します。
来週は Kubernetes 1.33 のEOL(6月28日) と Spring Boot 3.5 のEOL(6月30日) が目前に迫ります。移行作業がまだ完了していない場合は来週中の完了が必須です。特に Kubernetes はクラスター単位の作業となるため、チーム全体で作業計画を固めてください。また Spring Boot 3.5 からの移行先として、今週リリースされた 4.1.0 が新たな選択肢となりました。4.0.x と 4.1.x のどちらに移行するかを来週までに確定させることを推奨します。
データソース: GitHub Releases API, endoflife.date, npm Registry, PyPI
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。