詳細を読む
Vercelはプロジェクト設定ファイルの新形式「vercel.ts」を発表しました。TypeScriptベースのこのファイルにより、型安全性・動的ロジック・環境変数へのアクセスを活用した設定が可能です。従来の静的JSONでは表現できなかった複雑なルーティングやキャッシュルールも記述できます。
vercel.tsは既存のvercel.jsonと同じプロパティ定義を使用しており、新しい@vercel/configパッケージを通じて移行が容易に行えます。.js・.mjs・.cjs・.mtsなど複数の形式もサポートされています。
一方でVercelは、React Server ComponentsのCVSSスコア10.0という最高危険度の脆弱性「React2Shell」への対応詳細を公開しました。公開開示後、600万件以上の悪用試みをファイアウォールがブロックし、ピーク時の24時間では230万件に達しました。
対応としてHackerOneのバグバウンティプログラムを6時間以内に立ち上げるという異例の速さで、116名の研究者が参加。20種類のWAFバイパス技術が発見され、100万ドル超のバウンティが支払われました。
さらにVercelはWAFに加えランタイムレイヤーでの防御も導入しました。JavaScriptのconstructorプロパティへのアクセスをReactレンダリング中に遮断することで攻撃ベクターを根絶しています。この対策はトラフィックの96%をカバーし、今後の脆弱性対応のテンプレートとなりました。