npm Trusted Publishing
OIDCを使うことでnpm Tokenを使わずにnpm packageを公開できる
2025/7頃に使えるようになった
npm trusted publishing with OIDC is generally available - GitHub Changelog
docs
利用法
初回だけ手動で公開する必要があるらしい
新規パッケージでは、OIDCはパッケージが一度公開されていないと設定できません。 そこで、この問題を解決するためにsetup-npm-trusted-publishというツールを作成しました。 ref
mrsekut.iconは既存パッケージでは簡単に移行できた
新規パッケージはまだ試してない
npmの各パッケージの設定ページに、Trsuted Publisherという項目がある
https://gyazo.com/7f08d526e93586839441f5ef8adda967
項目を埋めて「Set up connection」
https://gyazo.com/4d2807b264d5dd889e5bae7388e0d54c
workflow例
注意点
permissions.id-token: writeが必要
npm v11.5.1以降が必要
code:yml
name: npm publish
on:
push:
tags:
- '*'
jobs:
publish:
runs-on: ubuntu-latest
timeout-minutes: 10
permissions:
contents: read
id-token: write # これが必要!
steps:
- uses: actions/checkout@v4
with:
fetch-depth: 0
- uses: actions/setup-node@v4
with:
registry-url: 'https://registry.npmjs.org'
node-version: 24
- uses: oven-sh/setup-bun@v2
- run: bun install --frozen-lockfile
- name: Update npm
run: npm install -g npm@latest # npm 11.5.1以降が必要
- run: npm publish --provenance --access public
コードだけ見ても、どういう認証でpublishしてるのかわかりにくいmrsekut.icon
従来の手順
❌️npm tokenを使ってGitHub Actionsでnpm publishする