<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
<p data-line="2" class="code-line">こんにちは。フロントエンドエンジニアをしている ryo です。<br><br>
先日、<a href="https://baseline.devpost.com/" target="_blank" rel="nofollow noopener noreferrer">Baseline Tooling Hackathon</a> に参加して <a href="https://github.com/ryohiy/baseline-search" target="_blank" rel="nofollow noopener noreferrer">baseline-search</a> というツールを作成しました。シンプルなツールですが個人的には気に入っていて、ハッカソン終了後も手隙の時にこのツールを少し改善したりしています。<br><br>
そのリポジトリで最近、npm trusted publishing を利用した GHA でのパッケージ公開の設定をしたので、その知見をまとめようと思います。よろしくお願いします。</p>
<h2 id="npm-trusted-publishing-%E3%81%A8%E3%81%AF" data-line="6" class="code-line">
<a class="header-anchor-link" href="#npm-trusted-publishing-%E3%81%A8%E3%81%AF" aria-hidden="true"></a> npm trusted publishing とは</h2>
<p data-line="8" class="code-line"><a href="https://github.blog/changelog/2025-07-31-npm-trusted-publishing-with-oidc-is-generally-available/" target="_blank" rel="nofollow noopener noreferrer">npm trusted publishing</a> とは、2025/7/31 に公開された、比較的まだ新しい機能です。これは OpenID Connect (OIDC) を npm の認証に用いてパッケージの公開が出来る機能です。<br>
これにより以下のような利点があります：</p>
<ul data-line="11" class="code-line">
<li data-line="11" class="code-line">npm トークンを Github secrets で管理する必要がない
<ul data-line="12" class="code-line">
<li data-line="12" class="code-line">
<a href="https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c" target="_blank" rel="nofollow noopener noreferrer">Nx に対して行われた secrets で管理していたトークンを盗まれる</a>ようなリスクをなくせる</li>
</ul>
</li>
<li data-line="13" class="code-line">非常に有効期間の短いトークンにより npm パッケージの公開を行うため、トークン流出時に再利用されにくい
<ul data-line="14" class="code-line">
<li data-line="14" class="code-line">
<a href="https://docs.github.com/ja/actions/concepts/security/openid-connect#understanding-the-oidc-token" target="_blank" rel="nofollow noopener noreferrer">OIDC の仕組み</a>を利用している</li>
</ul>
</li>
<li data-line="15" class="code-line">
<code>--provenance</code>不要で、自動で provenance 情報が付与される
<ul data-line="16" class="code-line">
<li data-line="16" class="code-line"><a href="https://github.blog/jp/2023-04-26-introducing-npm-package-provenance/" target="_blank" rel="nofollow noopener noreferrer">provenanceの詳細</a></li>
</ul>
</li>
<li data-line="17" class="code-line">自身でトークンのローテション作業をする必要がない</li>
</ul>
<p data-line="19" class="code-line">従来の npm トークンを発行する手法よりもセキュアな運用のため、基本的にはこの手法を利用してパッケージ公開をするべきかと思っています。</p>
<h2 id="%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95" data-line="21" class="code-line">
<a class="header-anchor-link" href="#%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 設定方法</h2>
<p data-line="23" class="code-line">基本的に <a href="https://docs.npmjs.com/trusted-publishers#configuring-trusted-publishing" target="_blank" rel="nofollow noopener noreferrer">npm の公式ドキュメント</a>に示されている通りのやり方で全く問題ないと思います。<a href="https://www.npmjs.com/" target="_blank" rel="nofollow noopener noreferrer">npmjs.com</a> のコンソール画面で trusted publisher の追加をして、npm パッケージの公開を行っているワークフローに OIDC のための権限を付与する感じです。</p>
<p data-line="25" class="code-line">ワークフローについてですが、私のリポジトリでは基本的に<a href="https://docs.npmjs.com/trusted-publishers#github-actions-configuration" target="_blank" rel="nofollow noopener noreferrer">こちらの公式ドキュメントにある設定</a>をそのまま行っています。以下のリンクが私のリポジトリの設定ファイルですが、見ての通りとてもシンプルに利用する事ができます。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-github"><iframe id="zenn-embedded__691c76c7a1acc" src="https://embed.zenn.studio/github#zenn-embedded__691c76c7a1acc" data-content="https%3A%2F%2Fgithub.com%2Fryohiy%2Fbaseline-search%2Fblob%2Fmain%2F.github%2Fworkflows%2Frelease.yml" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/ryohiy/baseline-search/blob/main/.github/workflows/release.yml" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/ryohiy/baseline-search/blob/main/.github/workflows/release.yml</a></p>
<p data-line="28" class="code-line">公式ドキュメントには更に、推奨事項や、従来の手法からの移行に関する内容等の記載もありますので、実施する際はぜひそちらをご一読ください。</p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="30" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<p data-line="32" class="code-line">今回は GHA 上で npm パッケージを公開する際の npm trusted publishing という機能についてまとめました。設定も簡単なので、従来の手法を利用されている方は是非使ってみていただければと思います。読んでいただきありがとうございました。</p>
<h2 id="%E5%8F%82%E8%80%83%E8%B3%87%E6%96%99" data-line="34" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83%E8%B3%87%E6%96%99" aria-hidden="true"></a> 参考資料</h2>
<ul data-line="36" class="code-line">
<li data-line="36" class="code-line"><a href="https://github.blog/changelog/2025-07-31-npm-trusted-publishing-with-oidc-is-generally-available/" target="_blank" rel="nofollow noopener noreferrer">https://github.blog/changelog/2025-07-31-npm-trusted-publishing-with-oidc-is-generally-available/</a></li>
<li data-line="37" class="code-line"><a href="https://efcl.info/2025/09/07/npm-oidc/" target="_blank" rel="nofollow noopener noreferrer">https://efcl.info/2025/09/07/npm-oidc/</a></li>
<li data-line="38" class="code-line"><a href="https://docs.npmjs.com/trusted-publishers#supported-cicd-providers" target="_blank" rel="nofollow noopener noreferrer">https://docs.npmjs.com/trusted-publishers#supported-cicd-providers</a></li>
<li data-line="39" class="code-line"><a href="https://blog.jxck.io/entries/2025-09-03/nx-incidents.html" target="_blank" rel="nofollow noopener noreferrer">https://blog.jxck.io/entries/2025-09-03/nx-incidents.html</a></li>
<li data-line="40" class="code-line"><a href="https://docs.github.com/ja/actions/concepts/security/openid-connect#benefits-of-using-oidc" target="_blank" rel="nofollow noopener noreferrer">https://docs.github.com/ja/actions/concepts/security/openid-connect#benefits-of-using-oidc</a></li>
</ul>


npm パッケージを npm trusted publishing を利用して公開するようにしたので、その知見をまとめる

Discussion