Upgrade to Pro — share decks privately, control downloads, hide ads and more …

個人的に嬉しかったpnpmの新機能・3選

Avatar for Atsushi Matsuo Atsushi Matsuo
April 11, 2026
Programming
120
0

 個人的に嬉しかったpnpmの新機能・3選

2026-04-11 PHPカンファレンス小田原2026 LT資料
https://fortee.jp/phpconodawara-2026

Avatar for Atsushi Matsuo

Atsushi Matsuo

April 11, 2026

More Decks by Atsushi Matsuo

See All by Atsushi Matsuo
20年以上続くプロダクトでも使い続けられる静的解析ツールを求めて
Avatar for Atsushi Matsuo matsuo_atsushi
0
130
PHPのバージョンアップ時にも役立ったAST(2026年版)
Avatar for Atsushi Matsuo matsuo_atsushi
0
330
テストやOSS開発に役立つSetup PHP Action
Avatar for Atsushi Matsuo matsuo_atsushi
0
300
PHPライセンス変更の議論を通じて学ぶOSSライセンスの基礎
Avatar for Atsushi Matsuo matsuo_atsushi
0
280
Windows版PHPのビルド手順とPHP 8.4における変更点
Avatar for Atsushi Matsuo matsuo_atsushi
0
1.6k
PHPのバージョンアップ時にも役立ったAST
Avatar for Atsushi Matsuo matsuo_atsushi
0
580
OSSの開発や貢献時に役立つRFC
Avatar for Atsushi Matsuo matsuo_atsushi
0
260
PHPの開発に貢献する4つの方法
Avatar for Atsushi Matsuo matsuo_atsushi
0
480

Other Decks in Programming

See All in Programming
t *testing.T は どこからやってくるの?
Avatar for Kotaro Otaka otakakot
1
890
〜バイブコーディングを超えて〜 チームで実験し続けたAI駆動開発
Avatar for Toranosuke Minamikawa tigertora7571
0
190
セグメントとターゲットを意識するプロポーザルの書き方 〜採択の鍵は、誰に刺すかを見極めるマーケティング戦略にある〜
Avatar for memory m3m0r7
PRO
0
740
ふりがな Deep Dive try! Swift Tokyo 2026
Avatar for watura watura
0
270
Vibe NLP for Applied NLP
Avatar for Ines Montani inesmontani
PRO
0
580
GNU Makeの使い方 / How to use GNU Make
Avatar for kaityo256 kaityo256
PRO
16
5.6k
Surviving Black Friday: 329 billion requests with Falcon!
Avatar for Samuel Williams ioquatix
0
2.7k
Kingdom of the Machine
Avatar for yui-knk yui_knk
2
1.4k
空間オーディオの活用
Avatar for Yuki Yasoshima objectiveaudio
0
120
[RubyKaigi 2026] Require Hooks
Avatar for Vladimir Dementyev palkan
1
280
検索設計から
推論設計への重心移動と
Recall-First Retrieval
Avatar for po3rin po3rin
5
1.5k
Firefoxにコントリビューションして得られた学び
Avatar for ken7253 ken7253
2
150

Featured

See All Featured
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
1
530
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6.1k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
540
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
12k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.9k
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
210
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7k
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.5k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
10k

Transcript

  1. 個人的に嬉しかった pnpmの新機能・3選 2026年4月11日 PHPカンファレンス小田原2026 サイボウズ株式会社 松尾篤 1

  2. 個人的に嬉しかったpnpmの新機能・3選 今回の話題 はじめに • なぜnpmからpnpmに移行したのか • 個人的に嬉しかったpnpmの新機能・3選 • npmサプライチェーン攻撃に対する緩和策 2

  3. 個人的に嬉しかったpnpmの新機能・3選 自己紹介 はじめに 松尾篤 • PHP使用歴:約21年 • PHPを使った開発歴は約18年 • 2023年4月にGaroon開発チームに加入

    • これまでの登壇実績(PHP関連) • PHPカンファレンス名古屋2025「PHPのバージョンアップ時にも役立ったAST」 • PHPerKaigi 2025「Windows版PHPのビルド手順とPHP 8.4における変更点」 • PHPカンファレンス福岡2025「PHPライセンス変更の議論を通じて学ぶOSSライセンスの基礎」 • PHPカンファレンス香川2025「テストやOSS開発に役立つSetup PHP Action」 • PHPerKaigi 2026「PHPのバージョンアップ時にも役立ったAST(2026年版)」 • pnpm使用歴:約7ヶ月 3

  4. なぜnpmからpnpmに移行したのか 4

  5. 個人的に嬉しかったpnpmの新機能・3選 pnpmの概要 なぜnpmからpnpmに移行したのか • Node.js標準のパッケージマネージャーであるnpmより高速でディスクの 使用効率も優れる • フロントエンドのパッケージ管理ツールとして採用例が増えてきている • PHPを使う開発者もnpmパッケージのインストールや管理は必要

    5

  6. 個人的に嬉しかったpnpmの新機能・3選 npmサプライチェーン攻撃に対する緩和策の1つとして なぜnpmからpnpmに移行したのか • 2025年9月前後からnpmサプライチェーン攻撃が加速 • pnpmは依存ライブラリインストール時の安全性を高めやすい • pnpm 10では依存関係のライフサイクルスクリプトがデフォルトで実行され

    ない • pnpm 10.16で追加されたminimumReleaseAgeオプションにより悪性マル ウェアを含むパッケージが混入するリスクを低減できる 6

  7. 個人的に嬉しかったpnpmの新機能・3選 7

  8. 個人的に嬉しかったpnpmの新機能・3選 個人的に嬉しかったpnpmの新機能・3選 個人的に嬉しかったpnpmの新機能・3選 • pnpm 10.16で追加されたminimumReleaseAge • pnpm 10.21で追加されたtrustPolicy •

    pnpm 10.23で追加されたpnpm listの--lockfile-onlyオプション 8

  9. 個人的に嬉しかったpnpmの新機能・3選 pnpm 10.16で追加されたminimumReleaseAge 個人的に嬉しかったpnpmの新機能・3選 • 公開直後のnpmパッケージのインストールを一定時間避ける機能 • pnpm-workspace.yamlにおける設定例 • minimumReleaseAge:

    20160 • 悪性マルウェアを含むバージョンのパッケージが混入するリスクを低減 9

  10. 個人的に嬉しかったpnpmの新機能・3選 pnpm 10.21で追加されたtrustPolicy 個人的に嬉しかったpnpmの新機能・3選 • no-downgradeに設定している場合に以前より信頼レベルの下がったパッ ケージのインストールを回避できる • 侵害されている可能性のあるバージョンや信頼性の低いバージョンのイン ストールを回避できる

    • npm provenance付きで公開されるパッケージが増えることに期待 10

  11. 個人的に嬉しかったpnpmの新機能・3選 pnpm 10.23で追加されたpnpm listの--lockfile-onlyオプション 個人的に嬉しかったpnpmの新機能・3選 • 実際のnode_modulesディレクトリを確認する代わりにロックファイル (pnpm-lock.yaml)からパッケージ情報を読み取るオプション • node_modulesディレクトリがなくてもパッケージの一覧を確認できる

    例)OSSライセンスの情報表示用に一覧を取得した時に作業ディレクトリの状態 に左右されなくなる 11

  12. npmサプライチェーン攻撃に対する緩和策 12

  13. 個人的に嬉しかったpnpmの新機能・3選 npmサプライチェーン攻撃に対する緩和策 npmサプライチェーン攻撃に対する緩和策 • https://pnpm.io/en/supply-chain-security より抜粋 • 危険なpostinstallスクリプトの実行を阻止 • ロックファイルを使う

    • pnpm-lock.yaml(npmでは「package-lock.json」に相当) • pnpm install --frozen-lockfile(npmでは「npm ci」に相当) • 依存ライブラリをアップデートする際にはクールダウン期間を設ける • pnpmならminimumReleaseAge • trustPolicyを使用して信頼レベルの下がったパッケージのインストールを回避 13

  14. ©️ Cybozu, Inc. 14