Node.js 25.5.0 Released Update Root Certificates and New Command-Line Flags
2026/01/27 CyberSecurityNews — 2026年1月26日にリリースされた Node.js バージョン 25.5.0 は、開発者のための機能を大幅に強化し、セキュリティ更新を導入するものだ。具体的には、新たなコマンドライン・フラグによるアプリケーション・パッケージングの簡素化を重視すると同時に、認証局 (CA) の更新により、暗号化トラスト・チェーンの整合性とセキュリティ標準が維持されるようになった。
このリリースにおける、最も重要な開発者視点での改善点は、–build-sea コマンドライン・フラグの導入である。これにより、Single Executable Applications (SEA) を作成する際の、これまで必要とされてきた複数の手動による手順が不要となった。
この統合は、Node.js アプリケーションをスタンドアロン・バイナリとして配布する開発者にとって、大きな品質向上をもたらす。従来は、以下の 3 段階の処理が必要だった。
| Action |
|---|
| Copy the executable |
Generate preparation blob using --experimental-sea-config |
Inject blob into copied executable with external postject tool |
新しいワークフローでは、以下の 1 コマンドに集約されている。
$ node --build-sea sea-config.json$ ./seaこの簡略化された手順では、LIEF (Library to Instrument Executable Formats) ライブラリが Node.js コアに直接統合されており、外部依存関係を排除し、配布ワークフローを単純化している。
この変更は、既存のプロジェクト・ベースの手法および experimental-sea-config フラグとの後方互換性を維持しており、既存ツールが引き続き動作することを保証している。その一方で、開発者は新手法への段階的な移行が可能となっている。
ファイル・システム監視および SQLite 統合の強化
Node.js 25.5.0 では SEA 関連の改善に加え、ファイル・システム操作に関する実用的な拡張が行われている。
fs.watch() 関数に ignore オプションが追加され、特定のファイルやディレクトリを監視対象から除外できるようになった。これにより、独自のフィルタリング・ロジックを実装することなく、不要なイベント処理を防止できる。その結果として、ファイル・システム変更を追跡するアプリケーションの負荷が低減される。
SQLite 連携では、2 点の重要な更新が行われている。防御モードがデフォルトで有効化され、実行時の安全チェックが追加されるようになった。
また、SQLite prepare options args の強化により、プリペアド・ステートメントの挙動をより細かく制御できるようになった。これらの変更は、実運用可能な信頼性の高いデータ・ストレージとして、Node.js が SQLite をランタイムに組み込む姿勢を反映している。
セキュリティ運用の観点では、Node.js 25.5.0 におけるルート証明書が NSS 3.119 (Mozilla Network Security Services) ベースに更新された。この更新により、SSL/TLS 接続が、最新の信頼された認証局セットをベースとして検証され、暗号化トラスト・チェーンの整合性が維持される。ルート証明書の定期的な更新は、中間者攻撃の防止や、失効/侵害された認証局を正しく認識するために不可欠である。
その他の品質改善
このリリースには、複数のサブシステムをカバーする修正が含まれている。具体的には、rawHeaders 検証による HTTP ヘッダ処理の改善/initialWindowSize 検証における HTTP/2 仕様準拠の強化/UTF8 操作における StringBytes エンコーディング性能の最適化などが行われている。
スレッド名には “node-” プレフィックスが付与され、デバッグ時の可視性が向上した。また、テスト・ランナーでは、意図的に失敗するテストケースを期待値として扱うことが可能となり、より包括的なテスト・カバレッジを実現できるようになる。
インフラ面では、依存関係の更新 (npm 11.8.0/SQLite 3.51.2/ICU 78.2/V8 のチェリーピック) および、ビルド・システムの安定性向上、WebAssembly エラーに関するドキュメント拡充が含まれている。
このリリースには、Node.js エコシステム全体をカバーするかたちで、安定性/性能/開発者エクスペリエンスの改善を目的とした、150 件以上のコミットが含まれている。
Node.js 25.5.0 は、”nodejs.org/dist/v25.5.0/” からのダウンロードが可能であり、Windows/macOS/Linux 向けのインストーラが提供されている。
2026年1月26日にリリースされた Node.js のバージョン 25.5.0 には、開発者の作業効率を劇的に改善する新機能と、通信の安全性を守るためのセキュリティ更新が導入されています。今回のリリースの目玉は、Node.jsアプリケーションを単一の実行バイナリ(SEA)にパッケージ化する手順が、--build-seaフラグの導入により大幅に短縮された点です。LIEF ライブラリがコアへ組み込まれたことで、外部ツールへの依存がなくなり、配布用バイナリの作成がより確実に、そして容易になっています。
また、fs.watch()に追加された ignoreオプションにより、特定のファイルやディレクトリを無視できるようになりました。これにより、不要なイベント処理を削減し、アプリケーションの動作負荷を抑えることができます。 さらに、ランタイムに組み込まれている SQLite では、防御モードがデフォルトで有効化されました。
セキュリティの根幹部分では、内蔵されているルート証明書が最新の NSS 3.119 (Mozilla Network Security Services) に更新されました。この更新により、SSL/TLS接続時に利用される信頼された認証局のリストが最新化され、失効した証明書や侵害された認証局を正しく認識できるようになります。よろしければ、Node.js での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.