Cybozu Frontend Monthly #62

タイトル画像

イベント概要

サイボウズフロントエンドマンスリー は、サイボウズ社内で行っているフロントエンド情報共有会「フロントエンドウィークリー」の公開版です。

その月に気になったフロントエンドの情報を、サイボウズのフロントエンドエンジニアのメンバーが共有していきます。

このイベントのハッシュタグは #サイボウズフロントエンドマンスリー です。

※フロントエンドウィークリーとは

毎週火曜の 17:00 〜 18:00 で社内向けに行っているフロントエンドの気になる記事を紹介する会です。
2016年3月15日から行われています。

ZennのPublicationにてウィークリーのまとめを投稿していますので、ぜひこちらもご覧ください。 https://zenn.dev/p/cybozu_frontend

開催日

2025年09月30日

イベントページ

https://cybozu.connpass.com/event/368435/

配信URL

https://www.youtube.com/watch?v=jrb2xA5fLek

メンバー


コンテンツ

👀 Notable Articles

npm パッケージを利用したサプライチェーンアタックについて

ここ最近、npm パッケージを対象に、脆弱性を突かれ、悪意のあるコードが混入された状態で配布されるケースが多く発生しています。

8/24 には、Monorepo の管理ツールである Nx が攻撃対象となり、各種サービスへの認証用トークンなどを窃取しつつ、さらに感染を広げるような不正なスクリプトを仕込んだ形でパッケージが配布されました。
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c

9/8 には、debug や chalk といった広く利用されているパッケージを含む 18 のパッケージが対象となり、ブラウザ上での操作をインターセプトし、仮想通貨のやり取りを不正に書き換えるコードが仕込まれました。
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

そして 9/15 には、tinycolor を含む 40 以上のパッケージがターゲットとなり、Nx への攻撃のように機密情報を窃取し、かつ他のパッケージにも感染を広げるマルウェアも組み込まれています。
https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised

いずれも npm install 時の postinstall などを利用して利用者に感染させる仕組みとなっており、 性質上、自身が管理しているリポジトリで該当パッケージを利用していなければそれで安全というわけではありません。

これを受けて、各種パッケージマネージャにおいて、リリース後一定期間を過ぎていないと install 自体を許可しないオプションが導入されたりもしています。

これらによってリスクの低減はできますが、昨今では AI ツールも普及しており、 AI 経由で npm パッケージの追加やインストールが実行されるケースも考えられるため、 根本的な対処のためには、Dev Container の利用などが必要になるかもしれません。

フロントエンドで開発をしている以上は npm パッケージの利用は日常的であり避けられないため、 このあたりの動向には注意を払う必要があるな…、と感じた一ヶ月でした。

フロントエンドのモジュールを共有する手法を考えた

現状の弊社のプロダクトにおけるフロントエンドでのモジュールを共有する方法を考えて、まとめた記事です。

技術的な手法はいくつかあれど、この記事の反応や、サイフロ通信の組織を横断したフロントエンドの取組での LINE ヤフーの方々と話をしてみて、技術的にどう実現するかも大事だけども、本当にモジュールを横断で共有すべきなのかという観点も大事だなと改めて思いました。

Wasm 3.0 Completed

Wasm の新しい仕様である v3.0 がリリースされました。前回の 2.0 から約 3 年ぶりのメジャーアップデートとなります。

具体的には以下の機能などが策定されました。

またこのサイトではそれぞれの機能についてブラウザや runtime でのサポート状況も確認できます。

特に GC 機能のサポートなどにより、高水準言語のコードも wasm にコンパイルしやすくなるのは大きなメリットと言えそうです。実際に Java や Kotlin、Scala、Dart などの言語で wasm 向けのコンパイルのサポートが進んでいます。

🗓 Monthly Articles

※AI によって整理・要約されています。

📖 Framework, Library

⚡️ Services

🖥 Browsers

💬 Languages

🤖 Runtimes

📝 Specifications

🦆 Others