• GitHub: pkgdeps/automerge-gate

背景: GitHub Auto Mergeは集約するアクションなしだと使いにくい

前提として、GitHubのAuto Mergeを使うには、必須チェック未達成のPRをマージできない状態にするBranch protection ruleやRulesetの設定が必要です。 これらの保護機能でPRがブロックされる状態を作ったうえで、すべての必須チェックが成功した時点でAuto Mergeが発火する、という仕組みになっています。 逆に言うと、Auto Mergeを使うには何かしらのステータスチェックを必ず必須に入れる必要があります。

そして、Branch protection ruleやRulesetは、マージに必要なステータスチェックを名前で列挙する形式です。 この方式は次のような場面で壊れやすいという問題があります。

• RenovateやDependabotなど外部のGitHub Appが追加するチェックは、PRごとにあったりなかったりする
• monorepoでパスフィルタを使っていると、ワークフローがPRによってスキップされたりされなかったりする
• 新しいワークフローを追加する度に、Rulesetを書き換える必要がある

GitHubのRulesetは複数の必須チェックをANDでつなぐ(全部成功すること)しか表現できないため、「チェック群のうちどれかが走っていればよい」みたいな条件は書けません。 そのため、PRごとに発火するチェックが違うケースだと、片方のPRでは存在しないチェックを必須にしてしまい、いつまでもマージできないという状態が発生します。

この問題への対処として、必須チェックを1つのステータスに集約するupsidr/merge-gatekeeperを使っているケースも多いです。 自分もtextlintなどのオープンソースプロジェクトや、プライベートリポジトリで使っていました。

• CI: add Merge Gatekeeper workflow for pull requests by azu · Pull Request #1577 · textlint/textlint

最近はmerge-gatekeeperからautomerge-gateに入れ替えて使っています。 automerge-gateも同じ「集約された1つの必須チェック」というアプローチですが、GitHubのAuto Mergeと組み合わせて使うことを前提に作られています。 必須チェックとして登録するのはautomerge-gate/all-passedの1つだけで、ワークフローやGitHub App由来のチェックをこのアクションが集約してくれます。

仕組み

automerge-gateには2つのモードがあります。

• Private mode — フォークPRを受け取らないリポジトリ向けのコスト最適化モード。マージ意図のないPRではアクション自体が早期returnして、ランナー時間を消費しない
• Public mode — フォークPRを受け取るリポジトリ向け。フォークPRではGITHUB_TOKENが読み取り専用になるため、ジョブ自身のcheck_runの終了コードがゲート信号になる

メインのユースケースはPrivate modeで、Public modeはオープンソースプロジェクトのようなフォークPR対応用です。

Private mode (メインのユースケース)

Private modeでは、アクションがREST APIで集約結果をcommit statusとして書き込みます。 重要なのは、PRが開かれただけでマージ意図がない状態(Auto Merge未有効 & write権限のApproveなし)では、アクション側はポーリングをせずに何も書き込まずにすぐに終了する点です。

このとき、必須チェックautomerge-gate/all-passedはGitHubのデフォルトのExpected — Waiting for status to be reportedのままです。 そのため、マージはブロックされた状態が維持されます。 メンテナがAuto Mergeを有効化したタイミング、またはwrite権限を持つレビュアーがApproveしたタイミングで、初めてアクションがポーリングを開始してチェックを集約しにいきます。

ジョブ自体は軽量で、PRのcheck_runを一定間隔(デフォルト30秒)でポーリングして集約結果を計算するだけです。 依存関係のビルドもなく、runs-on: ubuntu-latestの標準ランナーで十分動きます。 ポーリングしない場合のジョブは数秒で終わるので、Auto MergeがONになる前のPRではランナー時間をほぼ消費しません。

このスキップ動作によって、プライベートリポジトリでのコスト効率が改善できます。 GitHub Actionsの料金はジョブ単位の1分未満切り上げで、利用できるランナーごとに単価が異なります。 代表的なものを抜粋すると次のとおりです。

merge-gatekeeperは同等の集約処理をしてくれますが、Auto MergeがONかどうかに関わらず、PRが開かれた時点から他のチェックが揃うまでポーリングを続ける設計です。 そのため、1回のポーリングはCI全体が完了するのにかかる時間(例: 10分)とほぼ同じだけ走り続けます。 さらにpushするたびに同じポーリングが起きるので、push数 × ポーリング時間の課金が発生します。 さらにmerge-gatekeeperは内部でDockerコマンドを使うため、Dockerが使えないubuntu-slimでは動きません。 そのため、$0.006/分のubuntu-latestを選ぶ必要がありました。

automerge-gateの場合、本体はNode.js製のActionでDockerに依存していないため、ubuntu-slim(1-core, $0.002/分)でも動かせます。 加えてPrivate modeでは、Auto Mergeが有効化されておらずwrite権限ありのApproveもないPRに対してはポーリング自体を開始しません。 ジョブはトリガーされるので1分切り上げの最低課金(ubuntu-slimなら$0.002)は発生しますが、CI完了までポーリングし続けることはなくなります。

ただし、merge-gatekeeperとは視覚的な違いがあります。 merge-gatekeeperの場合、常にポーリングしているので、すべてのチェックが揃えば集約チェックがグリーンになります。 一方automerge-gateのPrivate modeでは、Auto MergeまたはApproveまでautomerge-gate/all-passedはpendingのままです。 GitHubの表示上はExpected — Waiting for status to be reportedと出ます。

Commit statusは(SHA, context)の組をキーにしてGitHubが評価するので、新しいコミットがpushされても自動的に新しいSHAに対して再評価が走ります。Auto Mergeを一度有効にしたら、その後はpush毎に有効/無効を切り替える必要はありません。

設定方法

設定は次の5ステップです。

1. モードを選ぶ(Private / Public)
2. .github/workflows/automerge-gate.yamlを追加
3. Ruleset(またはBranch protection)でautomerge-gate/all-passedを必須チェックに登録
4. リポジトリ設定で「Allow auto-merge」を有効化
5. PRで「Enable Auto Merge」をクリック

ワークフローファイル (Private mode)

.github/workflows/automerge-gate.yamlは次のような内容になります。

name: automerge-gate

on:
  pull_request:
    types: [opened, synchronize, reopened, auto_merge_enabled]
  pull_request_review:
    types: [submitted]

concurrency:
  group: ${{ github.workflow }}-${{ github.ref }}
  cancel-in-progress: true

jobs:
  gate:
    if: >-
      github.event_name != 'pull_request_review' ||
      github.event.review.state == 'approved'
    runs-on: ubuntu-latest
    timeout-minutes: 10
    permissions:
      statuses: write
      checks: read
      pull-requests: read
      actions: read
    steps:
      - uses: pkgdeps/automerge-gate@v4.0.0
        with:
          gate-mode: 'private'
          context: 'automerge-gate/all-passed'

ポイントは次のとおりです。

• pull_request_reviewのif:でapprovedのみを通している。GitHubのon:はレビューのstateで絞り込めないので、ジョブのif:で弾いて空振りでもrunnerが立ち上がらないようにしている
• timeout-minutes: 10がポーリングループの唯一のタイムアウト。アクション側に独立したtimeout-seconds入力はあえて用意されておらず、設定箇所を二重化しない方針になっている
• 権限はstatuses: write(commit status書き込み)とchecks: read(チェックの集約読み取り)で十分

Approveをマージ意図として扱いたくないチームは、on:からpull_request_reviewを外せば、Auto Mergeを明示的に有効化したときだけポーリングが走るようになります。

必須チェックの登録

Settings → Rules → Rulesetsを開いて、automerge-gate/all-passedを必須チェックに追加します。

📝 必須チェックのドロップダウンは、過去にそのリポジトリで実行されたチェック名しかオートコンプリートしないので、初回設定時は候補に出てきません。手入力でautomerge-gate/all-passedと入れる必要があります。

Auto Mergeの有効化

Settings → General → Pull Requestsで「Allow auto-merge」をチェックします。これをしないとPRに「Enable Auto Merge」ボタンが出ないので、ステップ5が動きません。

除外パターンの指定

CodecovやNetlifyのプレビュー、Renovateなど特定のチェック/Appをゲートから外したい場合は、ignore-appsまたはignore-checksで除外できます。

- uses: pkgdeps/automerge-gate@v4.0.0
  with:
    gate-mode: 'private'
    ignore-apps: |
      dependabot
      renovate

ignore-checksはglob(* / ?)が使えます。

- uses: pkgdeps/automerge-gate@v4.0.0
  with:
    gate-mode: 'private'
    ignore-checks: |
      optional-*
      docs-only

ignore-checksがチェックするのはGitHub APIのcheck_run.name(=jobs.<key>.name)です。 GitHubのUIで見える<workflow> / <job>形式ではない点に注意してください。 実際にどの名前で記録されているかは、次のコマンドで確認できます。

gh api "repos/{owner}/{repo}/commits/{sha}/check-runs" \
  --jq '.check_runs[] | {name, app: .app.slug, conclusion}'

Public modeについて

オープンソースプロジェクトのようにフォークPRを受け付けるリポジトリでは、フォークPRに対してGITHUB_TOKENが読み取り専用になります。 そのため、Private modeのようにcommit statusをPOSTする方法は使えません。 書き込みできないと「待機中(=ステータス未設定)」の状態も表現できないため、Private modeでやっている「マージ意図がなければスキップ」もそのままでは成り立ちません。

そこでPublic modeでは、ジョブ自身のcheck_run(GitHub Actionsが自動で作るもの)の終了コードをゲート信号として扱います。 ジョブのname:を必須チェックの名前(automerge-gate/all-passed)に揃えておくことで、ジョブの結果がそのまま必須チェックの結果になります。 この点はmerge-gatekeeperとほぼ同じ仕組みです。 代わりに「スキップで節約」はできなくなるため、Public modeでは全イベントで常にポーリングする形になります。

代替案としてpull_request_targetでGITHUB_TOKENに書き込み権限を持たせるアプローチもあります。 しかし、フォーク由来のコードを書き込み権限付きで動かすことになり、セキュリティ上の問題が大きいです。 そのため、この方式は採らずに「ジョブ自身の終了コードを信号にする」形に落ち着きました。 詳しい設計の背景は、architecture.mdにまとまっています。

ワークフローは次のようになります。

name: automerge-gate

on:
  pull_request:
    types: [opened, synchronize, reopened, auto_merge_enabled]

concurrency:
  group: ${{ github.workflow }}-${{ github.ref }}
  cancel-in-progress: true

jobs:
  gate:
    name: automerge-gate/all-passed # ruleset側の必須チェック名と一致させる
    runs-on: ubuntu-latest
    timeout-minutes: 10
    permissions:
      checks: read
      pull-requests: read
      actions: read
    steps:
      - uses: pkgdeps/automerge-gate@v4.0.0
        with:
          gate-mode: 'public'

Private modeとの違いは次のとおりです。

• 権限はchecks: readのみでよい(commit statusを書き込まないため)
• 「マージ意図がないPRはスキップ」というコスト最適化は行わない。常にトリガーごとにポーリングする(GITHUB_TOKENが読み取り専用だと”待機中”の信号を書き込めないため)
• ジョブのname:が必須チェック名そのものになる

実際のPublic modeでの実行例として、secretlint/secretlint#1557のログを見てみます。 ubuntu-24.04の標準ランナー上で、17個のチェックを集約している様子です。

##[group][00:05] Poll #1 — pending, 14/15 completed
  🟡 Agent (in_progress)
  ✅ Analyze (javascript-typescript) (success)
  ✅ Analyze (javascript) (success)
  ✅ binary-test (success)
  ✅ CodeQL (success)
  ...
##[group][00:38] Poll #2 — success, 17/17 completed
  ✅ Agent (success)
  ...
✅ Passed (17):

CodeQL、hadolint、secretlint、各OS/Node.jsのテストなど複数ワークフロー由来のチェックが、automerge-gate/all-passedの1つに集約されています。 ジョブ自体はチェック結果を読んで待つだけなので、約38秒で集約完了しています。

オープンソースプロジェクトのようにフォークPRを受け付ける環境でなければ、Private modeを使うのが基本になります。

merge-gatekeeperとの細かな違い: GitHub Actionsが作ったPRのデッドロック

GitHub ActionsがPRを作る場合、secrets.GITHUB_TOKENで作成されたPRに対しては、無限ループ防止のために他のGitHub Actionsワークフローが発火しません。

• 参考: Triggering a workflow from a workflow - GitHub Docs

このとき、ゲート用のワークフローも発火しないため、必須チェックがいつまでも報告されません。 merge-gatekeeperの場合は、PRイベントでしか動かないため、このPRはマージできないままデッドロックします。

automerge-gateはPrivate/Publicどちらのモードでも、pull_requestのauto_merge_enabledイベントをトリガーに含めています。 さらにPrivate modeではApprove(pull_request_reviewのsubmitted)もトリガーに含まれます。 そのため、手動でAuto Mergeを有効化するかApproveすれば、人手起点でゲートを動かせます。 完全な自動化はできませんが、デッドロック状態からは一応抜け出せる構造になっています。

制限事項

automerge-gateには次の制限があります。

• Merge Queue非対応 — GitHubのmerge_groupイベントには非対応
• ジョブのタイムアウト — timeout-minutesに達するとジョブがfailure / cancelledで終わり、必須チェックは赤のまま残る。GitHub Actionsの「Re-run failed jobs」でリトライするか、Auto Mergeを一度無効化して有効化し直す
• Legacy commit status APIのみのCI — AtlantisやJenkinsの一部のような、legacy commit status APIだけを使うCIは集約対象にならない
  • 該当するCIはRulesetに直接必須チェックとして追加し、automerge-gate/all-passedと並列に置く必要がある

バージョニング

automerge-gateのリリースは、v4.0.0のような不変のSemVerタグで公開されます。 v4のように移動するメジャータグは意図的に作っていないので、ワークフロー側では固定バージョンを指定して、RenovateやDependabotで更新するスタイルが推奨されています。これは、移動するタグが書き換えられるサプライチェーンリスクを避けるための設計です。

まとめ

automerge-gateは、GitHubのAuto Mergeとあわせて使う集約チェックのGitHub Actionです。

• Rulesetに登録する必須チェックはautomerge-gate/all-passedの1つだけで済む
• Renovate/DependabotやmonorepoのパスフィルタによってPRごとにチェックが増減しても、自動的に集約される
• Private modeでは、マージ意図のないPRではポーリングをスキップするためrunner時間をほぼ消費しない
• フォークPRを受け取るオープンソースプロジェクトなどはPublic modeで対応できる

merge-gatekeeperと似たコンセプトですが、Auto Merge前提でコストを最適化している点が違います。 また、Private/Publicの2モードに分けてGITHUB_TOKENの権限差に対応している点も異なります。

参考

• pkgdeps/automerge-gate
• upsidr/merge-gatekeeper
• About protected branches - GitHub Docs
• Automatically merging a pull request - GitHub Docs

• Release v13.0.0 · secretlint/secretlint

このバージョンの主な変更点は次の3つです。

• ファイル探索時に.gitignoreをデフォルトで尊重するように変更（Breaking Change）
• グロブメタ文字を含むパスが実在する場合はリテラルとして扱うように変更
• Tailscale/Stripeの検出ルールを新規追加、CloudflareをcanaryからrecommendへPromote

Breaking Change: .gitignoreをデフォルトで尊重

v13.0.0では、ファイル探索時に.gitignoreの内容をデフォルトで尊重するようになりました。 ripgrepと同じ挙動で、ネストされた.gitignoreファイルもサブディレクトリへカスケードして適用されます。深い階層のネガティブルール（!）で上位の判定を上書きできます。

• feat!: respect .gitignore by default via @secretlint/walker by azu · Pull Request #1530

.gitignoreに一致したファイルはスキャン対象から除外されます。 そのため、これまでdist/や生成物などを意図的にスキャンしていたプロジェクトでは、出力されるファイル数が減ります。

.secretlintignoreはこれまで通り併用できます。

v12までの挙動に戻したい場合は、--no-gitignoreオプションを指定します。

secretlint --no-gitignore "**/*"

.gitignoreに一致しているはずのファイルが結果に含まれている場合は、Issueで報告してください。

• Issues · secretlint/secretlint

実装: @secretlint/walker

v13.0.0では、ファイル探索の実装をglobbyから、新しく追加した@secretlint/walkerへ置き換えました。

設計はplanドキュメントとしてリポジトリにコミットされています。

• docs/superpowers/plans/2026-05-03-walker-gitignore-cascade-plan.md

Rustにはripgrepのignore crateがあり、oxcなどはこれを使うことで.gitignoreのカスケードを安価に再利用できます。 JavaScript側にも、ネストされた.gitignoreに対応するwalkerが全く無いわけではありません（tiny-readdir-glob-gitignore、ignore-walkなど）。 ただし、ripgrepのignore crateほど枯れた実績や仕様の網羅度を持つものは見当たりませんでした。 また、後述する「グロブメタ文字を含むパスが実在する場合はリテラル扱いにする」のように、走査・マッチ側に独自の制御を入れたい要件もあります。 依存ライブラリもnode-ignoreとpicomatchまで分解すればfs.readdirの上に薄く書ける範囲だったため、Secretlint側でwalkerを実装することにしました。

@secretlint/walkerは、ネストされた.gitignoreのカスケードに対応するPromiseベースのファイルシステムwalkerです。 依存ライブラリはignore（node-ignore）とpicomatchの2つだけで、含めるパターン（include）と除外するパターン（ignore）でセマンティクスを分離しています。

• 含めるパターン（include）: picomatchを使ったグロブマッチ。**/*.{ts,js}のようなブレース展開やドットファイルのマッチに対応する
• 除外するパターン（ignore）: node-ignoreを使った.gitignoreセマンティクスのマッチ。.gitignoreの挙動に合わせるため、ブレース展開は意図的に対応しない

Node.js本体にもfs.globやpath.matchesGlobが用意されていますが、これらにはドットファイルをマッチに含めるdotオプションが存在しません。 ドットファイル（.envなど）のスキャンが要件として外せないため、include側はpicomatchにしています。

走査自体はfs.readdir(dir, { withFileTypes: true })をベースにしたシンプルな再帰で、各ディレクトリのエントリをPromise.allで並列処理します。 ディレクトリ単位でignoreを判定し、無視対象に該当したディレクトリはサブツリーごと走査をやめます。 readdir自体を呼ばないため、大きなnode_modules配下などをまるごとスキップできます。

.gitignoreのカスケードはIgnoreStackという構造で扱います。 親ディレクトリのignoreインスタンスに対して、現在のディレクトリの.gitignoreを読み込んでextendIgnore()で重ねるという形でレイヤーを積みます。 .gitignoreがそのディレクトリに存在しない場合は親のインスタンスをそのまま返すため、不要なallocationが起きません。 深い階層のネガティブルール（!pattern）が浅い階層のルールを上書きする挙動も、このスタック上で自然に表現されます。 ネストされた.gitignore内のパターンはそのファイルの置かれたディレクトリにアンカーされます。 そのため、packages/foo/.gitignoreのsrc/**/*.tsはリポジトリルートではなくpackages/foo/src/配下にだけ適用されます。

クロスプラットフォーム対応として、node-ignoreへ渡すパスはWindowsでも/区切りに正規化（toPosix()）した上でマッチングします。 返すパスはOSネイティブの区切り文字に戻します。 また、ENOENTやEACCESは探索全体を止めずにスキップする方針で、ファイル削除・パーミッションエラーに対して頑健になっています。

入力パターンは静的なプレフィックス（walk root）と動的なサフィックス（マッチパターン）に分割し、同じrootを持つパターンはグループ化して1度のwalkで処理します。 グロブメタ文字を含む入力でも、それが実際のファイル/ディレクトリとして存在する場合はnoGlob相当の扱いにフォールバックさせるロジックもwalker側に入っています。

主なAPIはwalk(options)で、パッケージ単独でも利用できます。

CLI側のsecretlintでは、--no-gitignoreが指定された場合はignoreFilesから.gitignoreを外し、それ以外の場合はカスケード有効でwalkします。 .secretlintignoreは別経路のextraIgnorePatterns相当で従来通り適用されるため、.gitignoreとの共存に影響はありません。

パフォーマンス

walker単体の実行時間で見ると、globbyからの置き換えによるパフォーマンスの大きな劣化はありません。 一方で、.gitignoreのカスケードは「親のルールに子のルールを正しく重ねる」ことを満たさないと挙動が壊れる部分なので、ここはripgrepの実装を参考にしながら書いています。

実際のSecretlintの実行時間で見ると、.gitignoreを尊重することでnode_modules/やdist/などをそもそもスキャンしなくなるため、Lint対象のファイル数が減ります。 スキャン+ルール評価のコストはファイル数に比例して効いてくるため、walker自体のコストよりもLint対象が減ることによる削減のほうが支配的になります。 結果として、v12より速く終わるケースが多くなる想定です。

グロブメタ文字を含むパスが実在する場合はリテラル扱いに

Secretlintはコマンドライン引数をデフォルトでグロブパターンとして解釈します。 v13.0.0では、グロブメタ文字（()、[]、{}、?）を含むパスが実際にファイル/ディレクトリとして存在する場合は、リテラルとして扱うように変更しました。

これは、SvelteKitやNext.jsのRoute Groupなど、ディレクトリ名に()や[]を含むプロジェクトで特に有効です。

入力ごとに1度だけstatを実行し、存在すればリテラル、存在しなければ従来通りグロブとして扱います。 従来通り常にリテラルとして扱いたい場合は、--no-globオプションを指定します。

新しく追加された検出ルール

@secretlint/secretlint-rule-preset-recommendに、次の3つのルールが追加されました。

• Tailscale - Tailscale APIキー（新規追加）
• Stripe - Stripe APIキー（新規追加）
• Cloudflare - Cloudflare APIトークン（canaryから昇格）

関連PRは次のとおりです。

• Add Tailscale API key detection rule by azu · Pull Request #1536
• feat(secretlint-rule-stripe): add Stripe API key detection rule by azu · Pull Request #1537
• feat(secretlint-rule-preset-recommend): promote cloudflare, stripe, tailscale from canary by azu · Pull Request #1538

@secretlint/secretlint-rule-preset-recommendを使っている場合は、v13.0.0にアップデートすると自動的にこれらのルールが有効になります。

まとめ

Secretlint v13.0.0では、ファイル探索が.gitignoreをデフォルトで尊重するようになりました。 そのため、dist/などをスキャンしていたプロジェクトでは、--no-gitignoreへの切り替えや.secretlintignoreの見直しが必要になります。

これに加えて、グロブメタ文字を含む実在パスをリテラルとして扱うよう調整し、Route Groupなどのディレクトリ構成でもオプションなしに動作します。 検出ルールにはTailscale/Stripe/Cloudflareを追加しています。

フィードバックがあればGitHubのIssueでお知らせください。

• Release v13.0.0 · secretlint/secretlint
• Issues · secretlint/secretlint

ES2026は2026年6月に正式リリースされる予定です。 TC39ではすでにFeature Freezeが行われ、ES2026に入る予定の機能が確定しています。

• TC39 Process

今年もES2026で追加される機能についての対応Issueを作成しました。

これらのIssueを一緒に進めてくれるContributorと、JavaScript Primerの活動を支援してくれるSponsorを募集しています。

次のDiscussionにコメントをください

• 募集しているDiscussion: ES2026に対応するIssueへのContributorを募集しています · js-primer/js-primer · Discussions

ES2026対応のIssue

ES2026のMeta Issueとして次のIssueがあります。

• ES2026の対応 · Issue #1869 · js-primer/js-primer

具体的に対応するものとして次のIssueを作成しています。

• ES2026: Error.isError · Issue #1872 · js-primer/js-primer
  • 見積もり: 2 point
• ES2026: Map.prototype.getOrInsert / getOrInsertComputed (Upsert) · Issue #1873 · js-primer/js-primer
  • 見積もり: 3 point
• ES2026: JSON.rawJSON (JSON.parse source text access) · Issue #1874 · js-primer/js-primer
  • 見積もり: 2 point
• ES2026: Iterator.concat (Iterator Sequencing) · Issue #1875 · js-primer/js-primer
  • 見積もり: 2 point

各Issueには、作業量の見積もりとしてpointを付与しています。(これは感覚値なのであんまり正確ではないです。実際にやってみたら変わる可能性もあります) このpointは、作業の難易度や必要な調査量などを考慮して設定していて、後述するOpen Collectiveでの報酬計算にも利用します。

pointの目安は以下の通りです。これは作業時間ではなく、タスクの複雑さや規模を表す指標です。 例えば2 pointは「1日あれば終わるかな」という感覚値に近いものです。

ES2026に対応するマイルストーンは、次のページで公開しています。

• v8(ES2026) Milestone

ES2026は2026年6月末ぐらいに公開される予定なので、7月ぐらいには完成させる予定です。

去年のES2025対応 (JavaScript PrimerのES2025対応を手伝ってくれるContributorとSponsorを募集しています | Web Scratch) と比べると、今年のES2026は粒度が比較的均一で、1人1Issueで分担しやすいラインナップになっています。

Contributorを募集しています

JavaScript Primerの執筆、レビュー、サンプルコード作成、仕様調査などに興味がある方を募集しています。

今年のIssueは1人1Issueで分担しやすい粒度なので、それぞれのIssueに興味がある人を募集しています。

• 募集しているDiscussion: ES2026に対応するIssueへのContributorを募集しています · js-primer/js-primer · Discussions

Contributeしたい人は、次のDiscussionに参加してみてください。

• ES2026に対応するIssueへのContributorを募集しています · js-primer/js-primer · Discussions

Open Collectiveによる報酬

JavaScript PrimerはOpen Collectiveを通じて、活動資金の支援を受け付けています。 Contributorとして参加していただいた方には、この予算からContributing Expenses Policyに基づき、作業量に応じた報酬を請求できます。

報酬額は、Issueごとに設定されたpointに基づいて計算されます。 現時点での年間予算は約$1420で、これを元に計算すると 1 pointあたり約$23 となります。

なお、報酬は自分で受け取るほかに、他のOpen Collectiveに同じ金額を寄付するという選択肢もあります。 たとえばBabelなど、Open Collective上の任意のCollectiveを寄付先に指定できます。 jsprimerから直接、指定されたCollectiveへ同額が寄付される仕組みです。

過去のIssueに対応するpointの参考値やOpen Collectiveの利用方法、寄付先の指定方法については次のページを参照してください。

• Contributing Expenses Policy

書き方について

JavaScript Primerは技術書であるため、次の点に気をつけて書いていきます。

• 正確性: 仕様やMDN、信頼できる情報源を元に、矛盾のない正確な記述をします。
• 読みやすさ: 読者が理解しやすいように、平易な言葉遣いや構成を意識しますが、textlintのチェックがあるのである程度強制されます。
  • LLMの利用自体は問題ありませんが、最終的な品質は人間が読みやすかどうかで判断します
• サンプルコード: ユースケースに基づいた、実践的で理解しやすいサンプルコードを扱います。なぜそのコードが必要なのか、どのような場面で役立つのかが伝わるように意識します。
  • 実際に使われているパターンなどをもとにサンプルコードを書きます
• 目的意識: jsprimerにははじめに · JavaScript Primer #jsprimerに書いているように、本書の目的と目的ではないことが書かれています
  • 毎年悩むのは「どこまで書くか」ということですが、悩んだ時は本書の目的に立ち返って判断します

実際に書籍を書くときには、textlintによる文章のチェックやレビューやサンプルコードに対するテストの仕組みなどもあるので、文章ですがコードを書くような感覚で書いていくのが良いと思います。

詳しい書き方やルールについては、次のドキュメントを参照してください。

• Contribution Guide

参加方法

Contributorとして参加してみたい方は、次のDiscussionにコメントしてみてください。

• ES2026に対応するIssueへのContributorを募集しています · js-primer/js-primer · Discussions

ご興味のある方、ぜひ参加してみてください！

Sponsorを募集しています

JavaScript Primerの活動は、個人や企業のSponsorからの支援によって支えられています。 書籍の継続的なメンテナンスや改善活動を支援してくださるSponsorを随時募集しています！

現在のGold Sponsorは次の通りです。ご支援ありがとうございます！

Gold Sponsors

• being-ish Inc.

Supporters

jsprimerの更新を金銭的にサポートしたいという方は、是非検討してみてください！

詳細はJavaScript Primerスポンサー · JavaScript Primer #jsprimerをご覧ください。

• JavaScript Primer - Open Collective
• JavaScript Primerスポンサー · JavaScript Primer #jsprimer

参考: 前回までの募集

• JavaScript PrimerのES2025対応を手伝ってくれるContributorとSponsorを募集しています | Web Scratch
• JavaScript PrimerのES2024対応を手伝ってくれるContributorとSponsorを募集しています | Web Scratch
• ES2025に対応するIssueへのContributorを募集しています · asciidwango/js-primer · Discussion #1789
• ES2024に対応するIssueへのContributorを募集しています · asciidwango/js-primer · Discussion #1727

• Release v12.0.0 · secretlint/secretlint

このバージョンでは、次のように追加で検知できるようになったサービスが10個あります。

• Groq、Hugging Face、Notion、GitLab、Grafana、HashiCorp Vault、Vercel、Databricks、Docker、Figma

あわせて、@secretlint/secretlint-rule-preset-recommendのパッケージサイズを約80%削減しています。

新しく追加された検出ルール

@secretlint/secretlint-rule-preset-recommendに、次の10個のサービスのAPIトークンなどを検出するルールが追加されました。

• Groq - gsk_から始まるAPIキー
• Hugging Face - hf_から始まるUser Access Token
• Notion - secret_/ntn_から始まるIntegration Token
• GitLab - Personal Access Token、Pipeline Trigger Token、Runner Registration Tokenなど
• Grafana - Service Account TokenやCloud Access Policy Token
• HashiCorp Vault - hvs./hvb.から始まるトークン
• Vercel - Access Token
• Databricks - dapiから始まるPersonal Access Token
• Docker - dckr_pat_から始まるPersonal Access TokenとDocker Hub認証情報
• Figma - figd_/figu_/figoa_などで始まるトークン

@secretlint/secretlint-rule-preset-recommendを使っている場合は、v12.0.0にアップデートすると自動的にこれらのルールも有効になります。

今回追加したトークンは、GitHubのSecret scanning partnerのリストを参照することで、確度の高いパターンを持つトークンに絞り込んでまとめて実装しました。 誤検知が少ないトークンフォーマットを持つサービスを優先したため、検出精度を保ったままカバー範囲を広げられています。

Presetのパッケージサイズを約80%削減

@secretlint/secretlint-rule-preset-recommendのパッケージサイズを、v11と比べて約82%削減しました。

10個のルールが増えたにもかかわらず、全体としては約82%縮小しています。

主な要因は、GCPのService Account p12ファイル検出ルール(@secretlint/secretlint-rule-gcp)で使っていたnode-forge依存の置き換えです。 Web CryptoベースのPKCS#12 MAC検証実装に差し替えました。 p12ファイルの判定に必要なのはMACの検証だけなので、パース・復号処理を含むnode-forge全体を抱える必要がなくなりました。

• Replace node-forge with native PKCS#12 MAC verification by azu · Pull Request #1497

Breaking Change: Node.js 22+のサポート

v12.0.0では、Node.js 20のサポートを終了し、Node.js 22以上が必要になりました。 Node.js 20は2026-04-30でActive LTSが終了するため、少し前倒しでサポートを切っています。

Breaking Change: CommonJSビルドの削除

v12.0.0では、各パッケージのCommonJSビルドと、CJS/ESMのdual packageサポートを削除しました。 ESMのみの配布になります。

Secretlint自体はv7.0.0でESMへ移行済みでしたが、互換性のためCJS向けのビルドも残していました。 Node.js 22+でESMの利用が一般化したため、dual packageの保守コストを削減するためにCJSビルドを削除しています。

SecretlintをCLIとして利用している場合、特に影響はありません。 Node.js 22+ではrequire(esm)がサポートされています。 そのため、@secretlint/nodeや@secretlint/coreなどをrequire()しているコードもそのまま動作します。

使っているプロジェクト: SecureClipboard

Secretlintを組み込んだプロジェクトの例として、先日公開したSecureClipboardを紹介します。

• SecureClipboard: クリップボードに入った機密情報を自動でマスクするmacOSアプリ | Web Scratch

SecureClipboardはクリップボードを監視するmacOSアプリです。 コピーされたテキストや画像に機密情報が含まれていた場合、自動でマスクします。 内部ではsecretlintの単一バイナリ版をsubprocessとして呼び出してスキャンしています。

v12.0.0で追加されたGroqやHugging Face、Notion、Vercel、Docker、Figmaなどのトークンも、SecureClipboard側で追加対応なしに検出できます。 このように、secretlintをライブラリ/バイナリとして組み込む使い方でも、presetをアップデートするだけで検出対象を拡張できます。

まとめ

Secretlint v12.0.0では、10個のサービスに対応する新しい検出ルールを@secretlint/secretlint-rule-preset-recommendに追加しました。 同時にpresetのサイズを約80%削減しています。 CJSビルドの削除というBreaking Changeがあるので、ライブラリとして利用している場合はESMへの移行が必要です。

フィードバックがあればGitHubのIssueでお知らせください。

• Release v12.0.0 · secretlint/secretlint
• Issues · secretlint/secretlint

• GitHub: secretlint/secure-clipboard

テキストだけでなく画像にも対応していて、スクリーンショットに写り込んだトークンなどもVision frameworkでOCRしてマスクします。 内部ではsecretlintを使って、AWS、GitHub、Slack、GCP、Azure、npm、Dockerなどのトークンを検出します。 スキャン処理はすべてローカルで完結するmacOSアプリケーションなので、クリップボードの内容が外部に送信されることはありません。

なぜ作ったか

API Tokenをコピーして.envへ貼り付けたあと、そのトークンがクリップボード上に残り続けることがあります。 そのまま別のウィンドウで⌘+Vしてしまい、Slackのメッセージ欄やLinearのIssueタイトル、ブラウザの検索バーなどに意図せずペーストしてしまう事故が起きやすいです。 ペーストするまでクリップボードに何が入っているかは目に見えないので、気づきにくいというのも問題です。

SecureClipboardはコピーされた瞬間にマスクするため、誤ってペーストしても安全になります。 本物のトークンが必要なときはメニューから”Copy Original Text”を選ぶと取り出せますが、90秒後に自動でクリップボードから消えるようになっています。 これは1Passwordのクリップボードクリアと同じ仕組みです。

画像の場合も同様で、スクリーンショットを撮ってどこかに貼り付けるときに、意図しない映り込みを自動で防止します。 たとえばClaude Codeのターミナル画面をスクリーンショットしたときに、たまたまAPIキーや隠したいコードネームなどが含まれていた、というケースを防げます。

主な機能

SecureClipboardの主な機能は次のとおりです。

• クリップボードを監視して、自動的にマスキング
• テキスト：secretlintでスキャンして、検出した機密情報を***に置換
• 画像：Vision frameworkでOCRして、検出した領域だけをcrystallize + blurでマスク
• 検出時はメニューバーアイコンが赤くなり、macOSの通知を表示
• “Copy Original Text”で生の値を取得（90秒後に自動消去）
• マスクしたクリップボードはconcealedとしてマークされるため、AlfredなどのクリップボードマネージャーやGrammarlyなどに記録されない
• secure-pbpaste / secure-pbcopy のCLIツール同梱
• secretlintのバイナリはGitHub Releasesから自動更新

インストール

curl -fSL https://github.com/secretlint/secure-clipboard/releases/latest/download/SecureClipboard.app.zip -o /tmp/SecureClipboard.app.zip
unzip -o /tmp/SecureClipboard.app.zip -d /Applications
xattr -cr /Applications/SecureClipboard.app
open /Applications/SecureClipboard.app

コード署名はしていないので、xattr -crでquarantine属性を解除してから起動します。

アンインストールは次のコマンドでできます。

rm -rf /Applications/SecureClipboard.app
rm -f /usr/local/bin/secure-pbpaste /usr/local/bin/secure-pbcopy

テキストへのマスキング

クリップボード上のテキストにシークレットが含まれていれば、その部分を***で置き換えます。

たとえばSlackトークンを含む次のようなテキストをコピーすると、このようになります。

Slack Token is xoxb-1234567890123-1234567890123-AbCdEfGhIjKlMnOpQrStUvWx

実際にクリップボードに入るのは、トークン部分だけがマスクされた次のようなテキストになります。

Slack Token is *********************************************************

スクリーンショットの中にテキストとして含まれているシークレットも、Vision frameworkでOCRしてからスキャンするため、同じようにマスクされます。 たとえば下のスクリーンショットでは、cmuxの通知メニューに含まれていたユーザー情報がOCR経由で検出され、その矩形領域だけがblurされています。

画像へのマスキング

画像がクリップボードに入ると、Vision frameworkでOCRしてテキストを抽出し、検出されたシークレットの矩形領域だけにマスクをかけます。 スクリーンショットツールでクリップボードに保存するケースなどが主な対象です。

たとえば次のスクリーンショットにはxoxp-から始まるSlackのUser Tokenが写り込んでいます。

スクリーンショットツールでこの画像をクリップボードに保存すると、トークンが写っていた矩形領域だけにcrystallize + blur効果が自動で適用されます。

デフォルトでは、Vision frameworkで取得したテキストの矩形位置を使って、シークレットがあった部分だけをマスクするようになっています。 カスタムパターンで"action": "discard"を指定した場合は、画像全体を警告画像に置き換えるといった挙動も選べます。

“Copy Original”とConcealedClipboard

マスクしたあとに本物の値が必要になることもあります。 そのときはメニューバーから”Copy Original Text”（画像なら”Copy Original Image”）を選ぶと、元の内容をクリップボードにコピーし直せます。

このとき、クリップボードにはorg.nspasteboard.ConcealedTypeというUTIが付与されます。 これはNSPasteboardの慣習で、「このクリップボードの内容は機密情報なので、履歴に残さないでほしい」という意思表示です。 v1.4.0からこのUTIに対応しており、AlfredやGrammarlyなどnspasteboard.orgの規約に従っているクリップボードマネージャーは、この値を履歴へ保存しないようになります。

さらに90秒後にクリップボードから自動で消えるため、生の値が手元に残り続けることもありません。

CLIツール: secure-pbpaste / secure-pbcopy

v1.2.1から、macOS標準のpbpaste/pbcopyを置き換えるCLIツールが付属しています。

secure-pbpaste              # クリップボードのテキストをマスクして出力
echo "text" | secure-pbcopy # テキストをマスクしてからクリップボードにコピー

secure-pbcopyは、生のテキストを一度もクリップボードへ触れさせない設計になっています。 Unix Domain Socket経由で常駐アプリへテキストを送り、アプリ側でスキャン・マスクしてからクリップボードへ書き込みます。 通常のpbcopyだと、書き込んだ瞬間に他のクリップボードマネージャーが拾ってしまう可能性がありますが、secure-pbcopyならその心配がありません。

メニューバーから”Install CLI Tools”を選ぶと、/usr/local/bin/にsymlinkが作成されます。

設定

設定ファイルは~/.config/secure-clipboard/config.jsonに置きます。 メニューから”Open config.json”でも開けます。

{
    "rules": [
        { "id": "@secretlint/secretlint-rule-preset-recommend" }
    ],
    "patterns": [
        { "name": "mask-example", "pattern": "/INTERNAL_\\w+/i", "action": "mask" },
        { "name": "discard-example", "pattern": "/CONFIDENTIAL/i", "action": "discard" }
    ],
    "skipScanAppIdentifiers": ["com.1password.1password"]
}

rules

secretlintのルールを指定します。 デフォルトの@secretlint/secretlint-rule-preset-recommendには、AWSやGitHub、Slack、GCPなどの検出ルールが含まれています。

preset内の一部のルールを無効化できますが、基本的にはデフォルトのままで問題ありません。 SecureClipboardはsecretlintをpre-buildされたバイナリとして同梱しているため、独自のルールを読み込ませるような仕組みは用意していません。

patterns

カスタムの正規表現パターンを定義できます。actionは次の2種類があります。

正規表現は/regex/flagsの形式で、フラグはi（case-insensitive）、m（multiline）、s（dotAll）に対応しています。

たとえば次のように書くと、文字列に「secretlint」を含むテキスト・画像をすべてマスクできます。

{
    "name": "demo",
    "pattern": "/secretlint/i",
    "action": "mask"
}

このパターンを有効にした状態でメニューバーをスクリーンショットに撮ると、メニュー内のsecretlint v11.7.1というテキストもOCR経由で検出されて、その部分だけがマスクされます。

skipScanAppIdentifiers

Bundle Identifierを指定して、特定のアプリからのコピーをスキャン対象外にできます。 1Passwordなどのパスワードマネージャーは、コピーされる時点で意図的に取り出された値なのでスキャンを除外しておくのがよさそうです。

設定変更は次のクリップボード操作のタイミングで自動的に反映されるので、再起動は不要です。

アーキテクチャ

SecureClipboardはSwiftで書かれたネイティブのmacOSアプリです。 主要なコンポーネントは次のとおりです。

• ClipboardMonitor … NSPasteboardをポーリングしてクリップボードの変更を検出
• SecretScanner … secretlintのバイナリをsubprocessで呼び出してスキャン
• ImageSecretDetector … Vision frameworkでOCRしてテキスト + 矩形を取得
• ClipboardRewriter … テキスト・画像を上書きする
• IPCServer … Unix Domain SocketでCLIツールからのリクエストを受ける
• SecretlintUpdater … GitHub Releasesからsecretlintのバイナリを自動更新

secretlint本体はNode.js製のCLIですが、SecureClipboardはsecretlintの単一バイナリ版をsubprocessで呼び出しています。 そのため、ホストマシンにNode.jsがインストールされていなくても動作します。

まとめ

SecureClipboardは、クリップボードに入った機密情報をsecretlintで検出して自動的にマスクするmacOSアプリです。 テキストだけでなく画像にも対応していて、スクリーンショットに写り込んだトークンなどもVision frameworkでOCRしてマスクできます。

そもそもシークレットは生で扱わないのが基本で、自分も1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除したりしています。 ただ、サービスから発行されたAPIキーを1Passwordに入れる場面など、どうしても一度クリップボードを経由する瞬間があります。 クリップボード自体はデフォルトでセキュアな設計とはいえないので、SecureClipboardはこの隙間を補う仕組みとして使えます。

また、スクリーンショットに特定の文字列が写り込んでいても目視では検知しにくいです。 カスタムパターンを使えば、スクリーンショットにうっかり写り込んでしまうコードネームのような文字列を自動的にマスクするレイヤーとしても利用できます。 Vision frameworkのOCR精度に依存するので100%ではありませんが、検出時に通知が出るので気づきやすくなり、うっかり漏洩する確率を減らせます。

• GitHub: secretlint/secure-clipboard

• GitHub: azu/dockerfile-pin

なぜ作ったか

trivyへのサプライチェーン攻撃などの事件を見ていると、次に狙われるのはDocker Hubかなと思ったのがきっかけです。 CIでDocker Hubへのpushをしているケースは多いので、そこに悪意あるコードが混入する事件は今後も起きるだろうと思っています。

Dockerイメージのタグ（例：node:20）はデフォルトで可変（mutable）です。同じタグ名で中身を上書きできるため、悪意ある第三者がレジストリへのアクセスを得た場合、既存タグに対して改竄されたイメージをpushできます。

• Can a Docker Hub tag have its content changed? - Docker Community Forums

Docker Hubなどのレジストリは安全とは限りません。 npmのようにトークンの制限が厳しくなっていたり、デフォルトでタグがimmutableな場所であっても、axiosのように問題が起きることはあります。 Docker HubにはImmutable tagsという機能がありますが、これはリポジトリオーナー側が設定するもので、イメージを利用する側がコントロールできるものではありません。

@sha256:<digest>を付与することで、イメージの不変性を保証できます。digestはイメージのコンテンツハッシュなので、内容が異なればdigestも変わり、改竄を検知できます。npmのlockfileがパッケージのintegrityをハッシュで固定するのと同じ考え方です。

# Before: タグのみ（可変）
FROM node:20.11.1

# After: タグ + digest（不変）
FROM node:20.11.1@sha256:e06aae17c40c7a6b5296ca6f942a02e6737ae61bbbf3e2158624bb0f887991b5

タグとdigestを両方残す形式にしておくと便利です。タグは人間が読むため、digestは不変性の保証のために残します。Renovateはこの形式でタグとdigestの両方を更新できます。Dependabotもdigestが既に付いている場合はタグとdigestを同時に更新できます。

Dockerfileでは明示的にSHA256 digestを指定しないとハッシュ固定ができません。これはGitHub Actionsのuses:をコミットSHAでpin留めしていないのと同じ状態で、サプライチェーン攻撃のリスクがあります。

GitHub Actionsについてはpinactで自動化できますが、DockerfileのFROM行については同様のシンプルなツールがありませんでした。

既存ツールが不十分だった

DockerfileのSHA pinを補助する既存ツールとしてdockpinがありますが、2023年以降メンテナンスが停滞しています。

また、hadolintにはdigest pin強制ルールがなく（hadolint#773、2022年2月〜OPEN）、プラグイン機構もありません（hadolint#1001）。CIでdigestのpin漏れをチェックできるシンプルなlintツールが見当たりませんでした。

そのため、pinactのDockerfile版をイメージして、craneライブラリ（Googleが管理、メンテナンスが活発）をベースにdockerfile-pinとして自作しました。

作った後に気づきましたが、frizbeeがGitHub ActionsとDockerの両方に対応した近いツールとして存在しています。dockerfile-pinはdigestの付与に加えて、CIで新しくdigestなしのイメージが入るのを防ぐcheckコマンドがあるので、目的が少し異なる気がします。(おそらく似たことはできるはず?)

使い方

インストール

📝 主にCIとかで使いたい目的で作ったのでaquaなどのチェックサムをチェックしてインストールできる方法を推奨しています。

# curl
curl -sL "https://github.com/azu/dockerfile-pin/releases/latest/download/dockerfile-pin_darwin_arm64.tar.gz" | tar xz
sudo mv dockerfile-pin /usr/local/bin/

# aqua
aqua generate -i azu/dockerfile-pin

# Go
go install github.com/azu/dockerfile-pin@latest

run コマンド: digestの追加

run --writeコマンドで、DockerfileやComposeファイルのイメージ参照にSHA256 digestを追加します。 デフォルトではDry-Runになっているので --write フラグを使うと実際にファイルを書き換えます。

# ドライラン（プレビュー）
dockerfile-pin run -f Dockerfile

# 実際にファイルを書き換える
dockerfile-pin run -f Dockerfile --write

# globパターンで複数ファイルを対象にする
dockerfile-pin run --glob '**/{Dockerfile,docker-compose.yml}' --write

# 引数なしだと **/{Dockerfile,Dockerfile.*,docker-compose*.yml,docker-compose*.yaml,compose.yml,compose.yaml} を対象にします
# ドライラン
dockerfile-pin run
# Docker関係のファイルを自動的に書き換える
dockerfile-pin run --write

たとえば、次のようにタグのみの指定にdigestが追加されます。

変換前:

FROM node:20.11.1
FROM python:3.12 AS builder

変換後:

FROM node:20.11.1@sha256:e06aae17c40c7a6b5296ca6f942a02e6737ae61bbbf3e2158624bb0f887991b5
FROM python:3.12@sha256:... AS builder

すでにdigestが付いているイメージはスキップされます。--updateオプションをつけると既存のdigestも更新します。

check コマンド: CIでのdigest検証

CIで使うことを想定したcheckコマンドもあります。チェックは2段階です。

1. 構文チェック: FROM行に@sha256:が含まれているか
2. 存在チェック: 記載されたdigestがレジストリに実際に存在するか（HEADリクエストで検証）

存在チェックがあることで、typoや削除済みdigestがdocker build時まで発覚しないという問題を防げます。 HEADリクエストを使っているため、Docker Hubのpull rate limitを消費しません。

# すべてのDockerfileをチェック（git ls-filesから自動検出）
dockerfile-pin check

# 構文チェックのみ（レジストリへのアクセスなし）
dockerfile-pin check --syntax-only

# JSON形式で出力
dockerfile-pin check --format json

# 特定のイメージを無視
dockerfile-pin check --ignore-images scratch

出力例は次のとおりです。

FAIL  Dockerfile:1    FROM node:20.11.1                missing digest
OK    Dockerfile:3    FROM python:3.12@sha256:abc123...
SKIP  Dockerfile:5    FROM scratch                     scratch image

対応しているパターン

Dockerfile:

• FROM image:tag — digestを追加
• FROM image:tag AS stagename — AS付きも対応
• FROM --platform=linux/amd64 image:tag — --platform付きも対応
• ARG VERSION=1.0 + FROM image:${VERSION} — ARGにデフォルト値がある場合は展開して解決
• ARG BASE_IMAGE + FROM ${BASE_IMAGE} — デフォルト値がない場合はwarningでスキップ
• FROM scratch — スキップ
• FROM <stagename> — マルチステージビルドの参照はスキップ
• プライベートレジストリ（ghcr.io, GCR, ECRなど）にも対応

docker-compose.yml:

• image: node:20 — digestを追加
• build:ディレクティブがあるサービス — スキップ

CI/CDでの利用

GitHub Actionsでの利用例です。curlでインストールする方法と、aquaを使う方法があります。aquaを使うと、dockerfile-pin自体のチェックサムを検証してインストールできます。

なお、dockerfile-pinのリリースではGitHub Releases Immutabilityを有効にしています。

curlでインストールする場合:

- run: |
    curl -sL "https://github.com/azu/dockerfile-pin/releases/latest/download/dockerfile-pin_linux_amd64.tar.gz" | tar xz
    sudo mv dockerfile-pin /usr/local/bin/
- run: dockerfile-pin check

aqua経由で利用する場合は、aqua.yamlに dockerfile-pinを入れてインストールします。

- uses: aquaproj/aqua-installer@d1fe50798dbadd4eb5b98957290ca175f6b4870f # v4.0.2
  with:
    aqua_version: v2.57.1
- run: dockerfile-pin check

CIでdockerfile-pin checkを実行することで、digestが付いていないイメージをプルリクエスト時に検出できます。

Renovateとの併用

初回のdigest付与はdockerfile-pin run --writeで行い、その後の継続的な更新はRenovateに委譲します。

Renovateのdocker:pinDigestsプリセットを有効にすると、image:tag@sha256:digest形式のdigestを自動更新するPRを生成してくれます。

{
  "extends": ["config:best-practices"]
}

config:best-practicesにdocker:pinDigestsが含まれています。digest更新のみ自動マージしたい場合はdefault:automergeDigestも利用できます。

運用の流れとしては次のようになります。

1. dockerfile-pin run --writeで既存ファイルにdigestを一括付与
2. CIにdockerfile-pin checkを組み込み、digest未指定のFROM行がマージされないようにする
3. Renovateのdocker:pinDigestsで継続的にdigestを最新に保つ

まとめ

Dockerイメージのタグはデフォルトでmutableなので、タグだけの指定ではサプライチェーン攻撃のリスクがあります。 npmのlockfileやGitHub ActionsのSHA pinと同様に、Dockerfileでも@sha256:<digest>でイメージを固定した方が良いでしょう。

既存ツール（dockpin、docker-lock）はメンテナンスが停滞しており、hadolintにもdigest pinのルールがありません。そのため、シンプルにpin付与とCIチェックを行うdockerfile-pinを作りました。

• dockerfile-pin run --write で既存ファイルにdigestを一括追加
• dockerfile-pin check でCIでdigestの付け忘れを検出
• Renovateと組み合わせて継続的にdigestを最新に保つ

参考

• azu/dockerfile-pin
• suzuki-shunsuke/pinact
• google/go-containerregistry

• GitHub: https://github.com/azu/design-loop

左パネルに開発中のサイトのプレビュー、右パネルにClaude Codeのターミナルが表示されます。プレビュー上の要素をクリックすると、その要素のコンポーネント情報やスタイルがClaude Codeに渡されます。

インストール

curl -fsSL https://raw.githubusercontent.com/azu/design-loop/main/install.sh | sh

使い方

ソースコードがあるディレクトリで、開発サーバーがすでに起動している場合は、--urlでURLを指定するだけで起動できます。

design-loop --url http://localhost:3000

--commandオプションを使うと、開発サーバーの起動もdesign-loopに任せられます。開発サーバーが起動してからプロキシが自動的に接続します。

design-loop --url http://localhost:3000 --command "npm run dev"

起動すると、プレビューとClaude Codeのターミナルを統合したブラウザUIが開きます。プレビュー上の要素をクリックすると、コンポーネント名やファイルパス、スタイルなどのコンテキストがClaude Codeへの指示に含まれます。

Design Mode

v1.3.0で、ブラウザ上でページを直接編集できるDesign Modeを追加しました。

要素をクリックして「どこを変えたい」と伝えるだけでなく、テキストを直接書き換えたり、要素をドラッグ&ドロップで並べ替えたりできます。変更はログとして蓄積され、「Apply Changes」ボタンでまとめてClaude Codeに送信します。Claude Codeが変更内容を解釈し、実際のソースコードに反映します。

• テキスト編集: 見出し・段落・ボタンなどのテキストをクリックして直接編集（IME対応）
• ドラッグ&ドロップ: 要素を親コンテナ内でドラッグして並び替え
• Undo: Cmd+Z / Ctrl+Zで変更を取り消し

要素の選択モード（Select Element）とDesign Modeは排他的で、同時には使えません。選択モードは「Claude Codeに何を変えるか伝える」ためのもので、Design Modeは「自分で変更してClaude Codeにコードへ反映させる」ためのものです。

作った背景

Claude CodeでWebサイトやアプリの見た目を調整するとき、次のような作業フローを繰り返します。

1. ブラウザでサイトを確認
2. 「このボタンのスタイルを変えたい」と感じる
3. DevToolsで要素を特定し、どのコンポーネントか調べる
4. エディタでファイルを開く
5. Claude Codeに「このコンポーネントを変更して」と指示する

この行き来が繰り返されるのは、「サイトを見ている」コンテキストと「コードを指示する」コンテキストが分断されているからです。

指示を出す際に「どのファイルのどのコンポーネントか」を毎回説明するのは、LLMに対して本来不要なコンテキストを埋める作業です。ページ上で要素をクリックすれば自明な情報を、言葉で説明しています。

design-loopは、ブラウザ上でサイトを見ながら要素を選択し、その情報をそのままClaude Codeへ渡す仕組みを作ることでこの問題を解決します。

design-loopはエンジニア以外の人でも使えることを意識して作っています。DevToolsの知識がなくても、ブラウザ上で要素をクリックするだけでClaude Codeに指示を出せます。

技術的な実装

類似の課題をElectronやTauriのようなデスクトップアプリとして解決する方法もあります。しかしdesign-loopはCLI + HTTPプロキシという構成を選びました。

デスクトップアプリは配布が面倒です。コード署名、インストーラー、アップデート機構が必要になります。CLIツールとしてHTTPプロキシを立てる形なら、curlでインストールできます。また、HTTPプロキシであれば既存の開発サーバーに対して透過的に動作させられるため、フレームワーク側に手を加える必要がありません。

プロキシサーバーによるHTML注入

design-loopの中心はHTTPプロキシサーバーです。既存の開発サーバー（http://localhost:3000など）へのリクエストを中継し、HTMLレスポンスに対してスクリプトを動的に注入します。

ブラウザ → design-loopプロキシ → 開発サーバー
                ↓ HTMLにscriptを注入
ブラウザ ← design-loopプロキシ ← 開発サーバー

注入するスクリプトは2つです。

1. WebSocketをオーバーライドするスクリプト（HMR接続をプロキシ経由に書き換え）
2. 要素選択やデザインモードを実現するdesign-loop-inject.js

HTMLの注入は、Cloudflare WorkersのHTMLRewriterに似たストリーミング方式で行っています。HTMLレスポンス全体をバッファリングせず、ストリームを流しながら2か所に挿入します。

[先頭] WebSocketオーバーライドスクリプトを書き込む
  ↓ upstreamからのHTMLをそのままストリーミング
[末尾] <script src="/design-loop-inject.js"> を追記

バッファリングしない理由は、React 18やNext.js App RouterのSSRストリーミングに対応するためです。HTMLをすべて受け取ってから書き換えると、ストリーミングレスポンスが遅延してしまいます。

WebSocketスクリプトをストリームの先頭に注入するのは、次のページコンテンツが読み込まれる前にHMR接続のパッチを当てる必要があるからです。タイミングが遅れると、Next.js/webpackがすでにWebSocket接続を作成した後になってしまいます。

WebSocketのオーバーライドにより、ViteなどのHMR接続が壊れず、ホットリロードがそのまま動作します。また、X-Frame-OptionsやCSPヘッダーを削除することで、UIサーバーのiframe内に開発サーバーのページを埋め込めるようにしています。

inject-script: DOM要素のコンテキスト収集

注入スクリプトの主な役割は、クリックされたDOM要素のコンテキストを収集してiframeの親フレームにpostMessageで送ることです。

送信する情報は次の通りです。

const info = {
  selector: getCSSSelector(target),       // CSS Selector
  component: getReactComponentInfo(target), // Reactコンポーネント情報
  styles: getComputedStylesSummary(target), // 計算済みスタイル
  rect: { top, left, width, height },     // 要素の位置・サイズ
  tagName: target.tagName.toLowerCase(),
  textContent: target.textContent.slice(0, 100),
  ariaSnapshot: buildAriaSnapshot(target), // ARIAツリー
};

CSS Selector生成

ID優先で、なければタグ名・クラス名・:nth-child()を組み合わせた階層的なセレクタを構築します。

React Fiberからのコンポーネント情報

DOMノードにはReactが__reactFiber$xxxという内部プロパティを付与しています。これを辿ることでコンポーネント名・props・_debugSource（ソースファイルのパスと行番号）を取得できます。

// DOM要素からFiberを取得
const fiberKey = Object.keys(el).find(k => k.startsWith("__reactFiber$"));
let fiber = el[fiberKey];

// ネイティブ要素のFiberからコンポーネントFiberへ上に辿る
while (fiber && typeof fiber.type === "string") {
    fiber = fiber.return;
}
// fiber.type.displayName or fiber.type.name → コンポーネント名
// fiber._debugSource → { fileName, lineNumber, columnNumber }

この__reactFiber$を使ったアプローチは、ブラウザ上のReactアプリを解析する手法としてよく使われています。Claude Code DesktopのPreview機能も同様にReact Fiberからコンポーネント情報を取得しています。FigmaのClaude Code連携機能（From Claude Code to Figma）でも、ページにcapture.jsを注入して同様の処理をしています。

ARIAスナップショット

選択要素の周辺（ランドマーク境界まで最大5階層）のARIAツリーを文字列化します。テキストのみでページの構造的なコンテキストをLLMへ渡すためのアプローチです。スクリーンショットのようにピクセルではなく、セマンティクスを伝えます。

BunのトランスパイラでTypeScriptをブラウザに直接配信

inject-script.tsはTypeScriptで書かれていますが、サーバーサイドでのビルドステップは設けていません。代わりにBunの組み込みトランスパイラを使い、リクエスト時にその場でJavaScriptへ変換してブラウザに返しています。

// src/proxy/inject.ts
import injectScriptSource from "../ui/inject-script.ts" with { type: "file" };

export async function getInjectScript(): Promise<string> {
  const source = await Bun.file(injectScriptSource).text();
  const transpiler = new Bun.Transpiler({ loader: "ts" });
  return transpiler.transformSync(source); // 型を除去してJSを返す
}

with { type: "file" }というBun固有のimport attributeでファイルパスを取得し、Bun.Transpilerで変換します。esbuildやrollupは不要で、Bunランタイムだけで完結します。

Bunはランタイムとバンドラーが統合されているため、このようなツール開発に向いています。TypeScriptをそのまま実行でき、必要ならBun.Transpilerでブラウザ向けのJSを生成でき、PTYやHTTPサーバーも標準APIとして使えます。

同じ方向として、Electrobun v1もBunをベースにしたデスクトップアプリフレームワークです。ElectronのようにWebViewとバックエンドを統合しますが、Bunのエコシステムに乗ることで「外部ツールなしにTypeScriptとネイティブAPIを組み合わせられる」点が共通しています。こういうツールを作る際の選択肢になります（今回は使っていません）。

PTYとGhostty Webでブラウザにターミナルを統合

Claude CodeのプロセスはBunのPTY APIを使って起動します。Node.jsでPTYを扱うにはnode-ptyがありますが、ネイティブモジュールのためビルドが必要で、配布時に面倒が生じます。BunはPTYをBun.Terminalとしてランタイムに組み込んでいるため、追加のネイティブモジュールが不要です（ただし現時点ではWindows未対応）。Bun.spawnにterminalオプションを渡すだけでPTYにアタッチできます。

const terminal = new Bun.Terminal({
  cols, rows,
  data(_term, data) {
    // PTYの出力をWebSocket接続しているすべてのブラウザに配信
    for (const ws of connections) ws.send(data);
  },
});

Bun.spawn([shell, "-l", "-c", "claude"], { terminal, cwd });

ブラウザ側のターミナルエミュレータにはghostty-webを使っています。GhosttyはGPUレンダリングを使った高性能なターミナルアプリで、そのWebAssembly版（ghostty-web）をxterm.jsの代わりに採用しています。

再接続時のため、128KBのリングバッファでPTYの出力を保持しています。ブラウザがリロードされてもターミナルの表示内容を再生できます。

Design Mode: GUIの変更をコマンドにしてバッチで送る

Design Modeの設計上のポイントは、GUIでの変更をどうやってClaude Codeに伝えるかです。変更を構造化されたコマンドとして蓄積し、バッチでClaude Codeに送る方式を採用しています。

変更の種類はtext-edit（テキスト書き換え）とmove（要素の移動）の2つです。iframe内の注入スクリプトが変更を検出すると、postMessageで親フレームに通知します。

// テキスト編集の変更
{ type: "text-edit", selector: "h1.title", before: "旧タイトル", after: "新タイトル" }
// 要素の移動
{ type: "move", selector: ".card", oldIndex: 2, newIndex: 0 }

「Apply Changes」を押すと、蓄積された変更に正規化処理が走ります。同じ要素への複数回の編集は最初のbeforeと最後のafterに圧縮され、元の位置に戻った移動は削除されます。正規化後、変更をテキストにフォーマットしてClaude Codeに送信します。

[Design Mode Changes]
1. Text edited
   selector: h1.title (React: Header - src/components/Header.tsx:12)
   before: "旧タイトル"
   after: "新タイトル"
2. Element reordered
   selector: .card (React: ProductCard)
   moved from: .grid, index 2
   moved to: .grid, index 0

このテキストをユーザーの指示と一緒にClaude Codeへ渡すことで、変更内容を解釈してソースコードを書き換えます。

Claude Code DesktopのPreview機能との類似点と違い

2026年2月、Claude Code DesktopがPreview機能を追加しました。

• Use Claude Code Desktop - Preview your app

Preview機能では、プレビュー画面で要素を選択するとスクリーンショット・React情報・DOMの情報がClaude Codeに渡されます。design-loopを公開した後にこのPreview機能が公開されましたが、DOM/React Fiberの情報を収集してClaude Codeに渡すというアーキテクチャはほぼ同じでした。同じ課題を解決しようとすると似たアーキテクチャになるのだと感じました。

設計思想の違いもあります。Claude Code DesktopのPreviewは「Claude Codeというプロンプト環境が主体で、プレビューはその補助ツール」として設計されており、プレビューのサイズ制限もあります。

design-loopは逆で「プレビューが主体で、Claude Codeのプロンプトは手段」という位置づけです。これはデザイナーが使うことを意識していたからです。

非エンジニアがAIツールを使っている様子を見ていると、複数のウィンドウやアプリを行き来すると混乱する人がとても多いです。SaaSの画面のように1つの画面で完結することに慣れていると、ファイラーやターミナルなど知らないものが同時に出てくると難しく感じます。プレビューとターミナルを1つの画面で見られること自体に価値があると、作っていて感じました。

Claude Code DesktopもCoworkやPreviewで同じ方向へ進んでいます。PencilやLayrrのようなデザインとコード生成を統合するツールも登場しており、こうした統合ツールは今後増えていくのではないかと考えています。

作ってみて、Bun.Terminalとghostty-webの組み合わせでClaude CodeのUIをブラウザに持ってくるのは意外と簡単にできることがわかりました。PTYの出力をWebSocketで流してターミナルエミュレータに表示するだけなので、Claude Code向けのカスタムUIを作りたい場合の参考になれば幸いです。

• GitHub: https://github.com/azu/design-loop

• GitHub: azu/launchd-ui

なぜ作ったか

macOSでcron的な定期処理をやろうとすると、launchdを使うことになります。 自分の場合は、git pullを定期的に実行してリポジトリを同期する仕組みや、claude --remoteでClaude Codeを起動してスクリプトを実行する処理をlaunchdで管理しています。

たとえば、chronixdで収集したアクティビティデータを元に、寝る前にclaude --remoteでその日の活動をまとめる処理を自動実行しています。 Claude Code on the webで実行することで、自動で処理が走りつつ、気になったことがあればスマホからでも対話的に追記できます。

こういった定期処理をlaunchdで管理しているのですが、launchdの操作は基本的にCLIです。 launchctl loadやlaunchctl unloadといったコマンドを毎回調べながら打つのは面倒で、今どのエージェントが動いているか、次回いつ実行されるかといった情報も確認しにくいです。

GUIツールはLaunchControlなどの有料ツールが多く、探すのも面倒だったので自分で作ることにしました。

主な機能

launchd-uiには次の機能があります。

• ユーザーエージェント（~/Library/LaunchAgents/）、システムエージェント、システムデーモンの一覧と検索
• エージェントの開始・停止・再起動・即時実行（テストラン）
• スケジュール設定と次回実行日時のプレビュー
  • 毎日n時に実行とか、何時間ごとに実行とかができる
• stdout/stderrログの表示
• plistファイルの詳細表示
• ユーザーエージェントの作成・編集・削除
• Finderでファイルを表示

システムエージェントとデーモンは読み取り専用で、変更操作はユーザーエージェントのみに限定しています。

技術スタック

launchd-uiはTauriで作っています。 バックエンドがRust、フロントエンドがReact + TypeScript + Viteという構成です。 UIにはTailwind CSS v4とshadcn/uiを使っています。

Tauriを選んだ理由は主に2つあります。

1つ目は、launchdの操作にはlaunchctlコマンドの実行が必要で、バックエンドのある構成の方が都合よかったことです。 2つ目は、起動速度の速さです。launchd-uiは常駐するアプリではなく、設定を確認・変更したら閉じるタイプのツールです。起動の速さを重視しました。

Vibe Codingで開発

launchd-uiはClaude Codeを使って開発しました。 いわゆるVibe Codingで、コードの実装はほとんどClaude Codeに任せています。 2時間ぐらいで、まあ使えるかなぐらいのツールにはなりました。

ただし、コード品質のためのLintとかTestはセットアップしておくことを意識しました。 フロントエンドにはoxlintとvitest、Rustにはcargoのclippyとcargoのtestを設定しています。 リンターやテストをCI的に回せる状態にしておくことで、Vibe Codingでも一定の品質を保てます。

ただ、launchd自体の用語がだいぶ独特で、どのステータスがラベルとして正しいのかとかが結構難しかったです。

インストール

自分用のツールなので、特に署名などはしていません。

Apple Siliconの場合は次のコマンドでインストールできます。 コード署名していないアプリなので、xattr -crでquarantine属性を解除してください。

curl -L "https://github.com/azu/launchd-ui/releases/latest/download/launchd-ui_aarch64.app.tar.gz" | tar xz -C /Applications
xattr -cr /Applications/launchd-ui.app

Intel Macの場合はaarch64をx64に置き換えてください。 DMGインストーラーも Releases ページからダウンロードできます。

まとめ

launchd-uiは、macOSのlaunchdエージェントをGUIで管理できるシンプルなアプリです。 定期処理をlaunchdで管理していて、CLIでの操作が面倒な人に向いています。

• GitHub: azu/launchd-ui

• GitHub: azu/photo-cleaner

Amazon Photosなどにバックアップ済みの古い写真をiPhoneから削除して、ストレージを解放するためのアプリです。

なぜ作ったか

iPhoneの写真が増えすぎてストレージが足りなくなったとき、古い写真をまとめて削除したいことがあります。 しかし、標準の写真アプリでは大量の写真を効率的に選択・削除する機能がなく、一枚ずつ選択するのは現実的ではありません。

既存のアプリを探しても、数万枚の写真を処理できるものが見つかりませんでした。 そこで、シンプルに古い写真をまとめて削除できるアプリを作ることにしました。

実際に数万枚の写真を削除してみましたが、問題なく動作しています。

主な機能

Photo Cleanerには次の機能があります。

• 指定した期間より古い写真を自動で抽出して削除
• お気に入りに設定した写真は自動的に保護
• 特定のアルバムを保護対象として設定可能
• 削除前に月ごとのコンタクトシート（まとめ画像）を生成
• 動画は削除対象から除外

コンタクトシート機能

Photo Cleanerは実際に写真を削除する前にコンタクトシートを生成する機能があります。

コンタクトシートは、月ごとの写真をグリッド状にまとめた一枚の画像です。 削除してしまう前に、その月にどんな写真があったかを一覧で残しておけます。 生成したコンタクトシートは指定したアルバムに保存されるため、後から振り返ることができます。

設定項目

次の項目を設定できます。

インストールと使い方

Photo CleanerはApp Storeで配布していないため、Xcodeでビルドしてインストールする必要があります。

なぜApp Storeで配布しないのか

AltStore PALやSideStoreなどのサードパーティストアでの配布も検討しましたが、現状では課題が多いです。

AltStore PALで配布するにはAppleの公証（Notarization）が必要です。 公証にはAppleの承認プロセスがあり、個人開発のアプリには負担が大きいです。

SideStoreはApple IDとパスワードを入力する必要があります。

今回はワンショットで使うアプリなので、サードパーティストアでの配布は一旦諦めました。

また、無料のApple Developerアカウントでは次の制限があります。

• アプリの署名が7日で期限切れになる
• 同時にインストールできるアプリは3つまで
• 週に10個までしかアプリをインストールできない

これらの制限を回避するにはApple Developer Program（年間$99）への加入が必要です。 自分用のツールであれば、Xcodeから直接インストールするのが最もシンプルな方法です。

必要な環境

• Xcode 15以上
• iOS 17以上
• Apple Developer Account（無料枠で可）

セットアップ手順

1. リポジトリをクローンしてセットアップスクリプトを実行

git clone https://github.com/azu/photo-cleaner.git
cd photo-cleaner
./setup.sh

2. XcodeでConfigurationを設定

PhotoCleaner.xcodeprojを開き、Project Settings → Info → Configurationsで、DebugとReleaseの両方にLocalConfigを指定します。

3. ⌘Rでビルド・実行

削除の確認

削除対象の写真を確認してから削除を実行できます。 削除された写真は「最近削除した項目」に移動するため、30日以内なら復元可能です。

まとめ

Photo Cleanerは、iPhoneの古い写真をまとめて削除できるシンプルなアプリです。 削除前にコンタクトシートを生成することで、月ごとの写真を1枚の画像に圧縮して残せます。

• GitHub: azu/photo-cleaner

• mubook-hon: https://mubook-hon.jser.workers.dev/
• GitHub: https://github.com/azu/mubook-hon

URLが https://mubook-hon.vercel.app/ から https://mubook-hon.jser.workers.dev/ に変更されました。

前回の記事から約2年半が経ち、大きな変更をしたので紹介します。

• mubook-hon: Dropboxに保存したepubやPDFを読むビューア、Notionにメモや読んでいる位置を記録できるMobile/PC対応のウェブアプリ | Web Scratch

EPUBビューアーをBibiからfoliate-jsに移行

EPUBの表示エンジンをBibiからfoliate-jsに移行しました。

• feat: replace Bibi with foliate-js for EPUB viewer by azu · Pull Request #28

foliate-jsはFoliateというLinux向けの電子書籍リーダーのJavaScript実装です。 Web Componentベースで実装されており、カスタマイズ性の高い点が特徴です。

Bibiと比較して、次の点が改善されました。

• 初期化の高速化 - インクリメンタルパースにより、EPUBファイルの読み込みが高速化
• メモリ消費の削減 - メモリ管理の改善により、メモリ使用量が減少
• 仕組みの簡素化 - Bibiの時はMSWでService Workerプロキシを実装してBibiの求める形式/URLのパスで返す必要があり複雑だった。foliate-jsではこの回り道が不要になりシンプルに

9ゾーンタップ設定

画面を3x3の9ゾーンに分割し、各ゾーンにアクションを割り当てられるようになりました。

• feat: add customizable 9-zone tap settings for EPUB viewer by azu · Pull Request #32

設定画面から、各ゾーンに「次ページ」「前ページ」「メニュー」「閉じる」「なし」を割り当てられます。 プリセットとして「Default」「Right Hand」「Left Hand」を用意しています。

VercelからCloudflare Workersへ移行

ホスティングをVercelからCloudflare Workersに移行しました。

• refactor: migrate from Vercel to Cloudflare Workers by azu · Pull Request #31

Notion APIはCORSに対応していないため、ブラウザから直接APIを呼び出すことができず、プロキシが必要です。 VercelのServerless Functionsには4.5MBのBodyサイズ制限があり、今後の障壁になる可能性があるためCloudflare Workersへ移行しました。 Next.jsをstatic exportで公開し、Cloudflare Workersでプロキシを実装することで、同一ドメインでシンプルな構成になりました。

O’Reillyハイライトインポート

Kindleに加えて、Learning Platform - O’Reilly Japanのハイライトも半分自動でインポートできるようになりました。

インポートページでは、コピーボタンとブックマークレットを用意しています。 ブックマークレットをブックマークバーにドラッグしておけば、ワンクリックでハイライトを抽出して、それをmubook-hon形式でNotionにインポートできます。

最近のOreilly Learningでは、AI翻訳で日本語で書籍が読めることが多くなったので、Oreillyのアプリで読んでそのハイライトをNotionに取り込みたい時に使っています。

• Search | O’Reilly: 2026-01-01時点で928冊ある

ACM経由なら$174/yearで利用できるので、結構おすすめです。

• ACM会員になるとO’Reilly本が読み放題
• ACMに入会してオライリー学習プラットフォームをちょっとお得に利用しよう！｜sekineko (papipupepujii)

IndexedDBのキャッシュ問題

Safari/iOSでは、IndexedDBにBlobを保存すると、ページ遷移時などにBlobの破損が発生しました。この問題はiOS 17.4.1から報告されており、iOS 18でも発生していました。 mubook-honでは、SWRのキャッシュ実装でこの問題が発生したため修正しました。

• Blob URLs not Working on iOS 17.4.1 | Apple Developer Forums

Blobオブジェクトのsizeやtypeプロパティは存在するものの、実際にデータを読み取ろうとすると壊れている状態になります。

対策として、BlobではなくArrayBufferを保存するように変更しました。

// Before: Blobを直接保存（Safariで破損する可能性あり）
await db.put('cache', blob, key);

// After: ArrayBufferとして保存
const arrayBuffer = await blob.arrayBuffer();
await db.put('cache', arrayBuffer, key);

// 読み出し時にBlobに変換
const arrayBuffer = await db.get('cache', key);
const blob = new Blob([arrayBuffer], { type: 'application/epub+zip' });

• fix: store ArrayBuffer instead of Blob in IndexedDB cache · azu/mubook-hon@dc29ffe

まとめ

mubook-honは、Dropboxに保存したEPUB/PDFファイルをブラウザで読めるウェブアプリ かつ 読書メモの管理ツールです。 自分でもよく使っていて、EPUBをよく読むためインクリメンタルにレンダリングできる方式を求めてfoliate-jsへ移行しました。

飛行機などで完全オフライン対応が欲しくなるため、Service Workerでの対応を検討しています。

また、Amazon、一部のKindle本がEPUBまたはPDF形式でのダウンロードに対応へ。2026年1月20日からというニュースもあり、EPUBリーダーの需要は増えそうです。

書籍リーダーは7回目(mubook-honを2回作り直してる)ぐらいですが、だいぶ満足度の上がるものを作れるようになった気がします。

• azu/mu-epub-reader
• azu/epub-to-text: EPUBをVoiceVoxで読み上げた動画にするツール。動画にすることでバックグラウンドでも音として聴ける（Kindleの読み上げはよく止まるので作った）。ページ捲り=シークバーになるというアイデア
• azu/bi-epub-reader
• azu/mu-pdf-viewer
• azu/pdf-markdown-annotator

• mubook-hon: https://mubook-hon.jser.workers.dev/
• GitHub: https://github.com/azu/mubook-hon
• mubook-honのNotionテンプレート: https://efcl.notion.site/mubook-hon-addce6c324d44d749a73748f92e3a1a6