こもりです。Node.js のセキュリティリリースが出ていたので、そのお知らせついでに。
Node.js 本体のアップデートをするには?
公式のインストーラー(.pkg とか .msi)でインストールしている場合は、公式サイトから最新版をダウンロードしてインストールし直しましょう。
nvm や Volta などのバージョン管理ツールを使っている場合は、各ツールの公式サイトに記載されているであろう手順に従って最新版にアップデートしましょう。インストール後、グローバルで使うバージョンを明示的に指定しないと切り替わらないこともあると思いますので、その辺は公式サイトで確認してください。
LTS版の最新は、node@24.13.0、node@22.22.0、node@20.20.0 です。
mise を使っている場合
「ゼロから始める環境構築(macOS版)」では、mise を使って Node.js のバージョンを管理する方法を紹介しています。mise を使っている場合は、以下のコマンドで最新版にアップデートできます。
インストール済の Node.js のバージョン確認
$ mise list node
最新版へのアップデート(バージョン番号は適宜変更してください)
$ mise upgrade node@24
インストール時にバージョンを細かく指定(node@24.x.x みたいに)してる場合は、上記コマンドではなく、例えば mise upgrade node@24.13.0 のように指定しないと上書きでアップデートできない場合があります。
一度 mise uninstall -g node@バージョン番号 を実行して取り除いて、再度 mise use -g node@24 のようにしてグローバルに設定し直しておくと、以後は下記のコマンドで当該バージョンの最新版にアップデートされるので楽です。
インストール済のソフトの更新の有無をチェック
$ mise outdated
あった場合は以下のコマンドで一括更新
$ mise upgrade
個別に更新したい場合は以下のコマンドで
$ mise upgrade package-name
npm のアップデート
Node.js 本体に同梱されている npm は大概少し前のバージョンが入っていると思うので、ついでにアップデートしておきましょう。 npm 自体のアップデートは以下のコマンドで上書きできます。
$ npm i -g npm
corepack を使って pnpm を有効化してる方は、インストール済の Node.js の中に入っているかと思うので npm i -g pnpm で pnpm 自体も最新版にアップデート可能です。pnpm がコマンドで実行できない場合は corepack enable pnpm を実行してから試してみてください。
グローバルインストール済のパッケージの扱い
各種バージョン管理ツールを使って Node.js をインストールされている場合、グローバルにインストールされているパッケージは Node.js の各バージョンごとに存在している場合が多いかもしれません。以下のコマンドでグローバルにインストールされているパッケージを一覧表示できます。
$ npm ls -g --depth=0
バージョン管理ツール側で default-packages とか使っていれば、Node.js をアップデートインストールする際に自動的にそれらもインストールされるので心配はないと思いますが、それ以外の方はグローバルで使っていたパッケージを個別にインストールし直す必要があるかもしれません。
グローバルで実行していたソフトウェアが動かないぞ?という場合は、必要なものを再インストールしましょう。
mise で npm: 経由でインストールしている場合
mise の npm: プレフィックスを使って、npmで公開されているパッケージをグローバルにインストールしている場合は、mise側で一元管理できています。 Node.js のバージョンをアップデートしようが切り替えようが、別でインストールしたりする必要はありません。
Node.js のバージョン毎に管理しなくて良いので mise おすすめ。
プロジェクト内のパッケージの脆弱性チェック
ローカルで制作しているサイトをビルドするぐらいの用途で使っていれば、今回のセキュリティアップデートは特に影響を受けることはないように見えます。
ただ、作ったものをビルドするだけであっても、プロジェクトで使用する「npm modules」内のパッケージに脆弱性を含んでいるものが紛れ込んでいる可能性もあります。プロジェクト内のパッケージに脆弱性がないかどうかは、ディレクトリに移動して以下のコマンドでチェックできます。オプションで --fix を付けると自動的に修正も試みてくれます。
npm の場合
$ npm audit
pnpm の場合
$ pnpm auditというわけで、ご安全に。