Mod: Node.jsインストール方法をNodeSourceから公式バイナリ直接ダウンロードに変更

223n · 223n · commit 008f70fc6b0e · 2026-02-06T00:47:03.000+09:00
Rem: NodeSource リポジトリの GPG 署名 (SHA1) が Debian Trixie の
2026年2月以降のセキュリティポリシーで拒否される問題を回避

- Node.js公式サイトからバイナリを直接ダウンロード
- ARG NODE_VERSION でバージョン指定を明示化
- xz-utils パッケージを追加（tar.xz展開用）
- amd64/arm64 マルチアーキテクチャ対応
diff --git a/CHANGELOG.md b/CHANGELOG.md
@@ -4,6 +4,14 @@
 
 - [変更履歴](#変更履歴)
   - [目次](#目次)
+  - [v1.3.1 (2026-02-06)](#v131-2026-02-06)
+    - [v1.3.1 - 1 - Node.jsインストール方法の変更](#v131---1---nodejsインストール方法の変更)
+      - [v1.3.1 - 1-1 - 問題](#v131---1-1---問題)
+      - [v1.3.1 - 1-2 - 原因](#v131---1-2---原因)
+      - [v1.3.1 - 1-3 - 解決策](#v131---1-3---解決策)
+      - [v1.3.1 - 1-4 - 変更内容](#v131---1-4---変更内容)
+    - [v1.3.1 - 2 - 影響](#v131---2---影響)
+    - [v1.3.1 - 3 - 追加パッケージ](#v131---3---追加パッケージ)
   - [v1.3.0 (2026-02-05)](#v130-2026-02-05)
     - [v1.3.0 - 1 - Node.jsインストール方法の変更](#v130---1---nodejsインストール方法の変更)
       - [v1.3.0 - 1-1 - 問題](#v130---1-1---問題)
@@ -54,6 +62,79 @@
   - [v1.0.0 (2025-12-22)](#v100-2025-12-22)
     - [v1.0.0 - 1 - 初回リリース](#v100---1---初回リリース)
 
+## v1.3.1 (2026-02-06)
+
+### v1.3.1 - 1 - Node.jsインストール方法の変更
+
+NodeSourceリポジトリからNode.js公式バイナリ直接ダウンロードに変更しました。
+
+#### v1.3.1 - 1-1 - 問題
+
+DevContainerビルド時に以下のエラーが発生しました。
+
+```text
+E: The repository 'https://deb.nodesource.com/node_20.x nodistro InRelease' is not signed.
+ERROR: Feature "GitHub CLI" (ghcr.io/devcontainers/features/github-cli) failed to install!
+```
+
+#### v1.3.1 - 1-2 - 原因
+
+NodeSourceリポジトリのGPG署名がSHA1を使用しており、Debian Trixieでは2026年2月1日以降SHA1署名がセキュリティポリシーで拒否されるようになりました。
+
+```text
+Sub-process /usr/bin/sqv returned an error code (1), error message is:
+Signing key on 6F71F525282841EEDAF851B42F59B5F99B1BE0B4 is not bound:
+No binding signature at time 2026-01-19T15:27:46Z
+because: Policy rejected non-revocation signature (PositiveCertification)
+requiring second pre-image resistance
+because: SHA1 is not considered secure since 2026-02-01T00:00:00Z
+```
+
+#### v1.3.1 - 1-3 - 解決策
+
+Node.js公式サイトからバイナリを直接ダウンロードしてインストールする方式に変更しました。
+
+#### v1.3.1 - 1-4 - 変更内容
+
+変更前（NodeSourceリポジトリ使用）:
+
+```dockerfile
+RUN curl -fsSL https://deb.nodesource.com/setup_20.x | bash - \
+    && apt-get install -y nodejs \
+    && apt-get clean \
+    && rm -rf /var/lib/apt/lists/*
+```
+
+変更後（公式バイナリ直接ダウンロード）:
+
+```dockerfile
+ARG NODE_VERSION=20.18.2
+
+RUN ARCH=$(dpkg --print-architecture) \
+    && case "${ARCH}" in \
+         amd64) NODE_ARCH="x64" ;; \
+         arm64) NODE_ARCH="arm64" ;; \
+         *) echo "Unsupported architecture: ${ARCH}" && exit 1 ;; \
+       esac \
+    && curl -fsSL "https://nodejs.org/dist/v${NODE_VERSION}/node-v${NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" \
+       -o /tmp/node.tar.xz \
+    && tar -xJf /tmp/node.tar.xz -C /usr/local --strip-components=1 \
+    && rm /tmp/node.tar.xz \
+    && ln -sf /usr/local/bin/node /usr/local/bin/nodejs \
+    && node --version \
+    && npm --version
+```
+
+### v1.3.1 - 2 - 影響
+
+- [Dockerfile](./Dockerfile): Node.jsインストール方法を変更
+- [local-build/Dockerfile.base](./local-build/Dockerfile.base): 同上
+- その他のファイル: 変更なし
+
+### v1.3.1 - 3 - 追加パッケージ
+
+- `xz-utils`: `.tar.xz`ファイルの展開に必要
+
 ## v1.3.0 (2026-02-05)
 
 ### v1.3.0 - 1 - Node.jsインストール方法の変更
diff --git a/Dockerfile b/Dockerfile
@@ -14,9 +14,9 @@ LABEL org.opencontainers.image.licenses="MIT"
 # 非対話的インストールの設定
 ENV DEBIAN_FRONTEND=noninteractive
 
-# Node.jsのバージョン設定
-# ※ バージョン更新時はここを変更
-ENV NODE_VERSION=25.6.0
+# Node.js バージョン設定
+# NOTE: LTSバージョンは https://nodejs.org/en/download で確認
+ARG NODE_VERSION=25.6.0
 
 # 基本パッケージのインストール
 RUN apt-get update && apt-get install -y --no-install-recommends \
@@ -28,7 +28,6 @@ RUN apt-get update && apt-get install -y --no-install-recommends \
     nano \
     ca-certificates \
     gnupg \
-    xz-utils \
     # ビルドツール
     build-essential \
     # データベース
@@ -41,22 +40,24 @@ RUN apt-get update && apt-get install -y --no-install-recommends \
     jq \
     zip \
     unzip \
+    xz-utils \
     && apt-get clean \
     && rm -rf /var/lib/apt/lists/*
 
-# Node.js LTS のインストール（公式バイナリを直接使用）
-# NodeSourceリポジトリはDebian 13のSHA1拒否ポリシーに対応していないため、
-# Node.js公式バイナリを直接ダウンロードしてインストール
+# Node.js LTS のインストール（公式バイナリを直接ダウンロード）
+# NOTE: NodeSourceリポジトリのGPG署名（SHA1）がDebian Trixieで拒否されるため、
+#       公式バイナリを直接インストールする方式に変更（2026年2月以降の対応）
 RUN ARCH=$(dpkg --print-architecture) \
     && case "${ARCH}" in \
-         amd64) NODE_ARCH='x64' ;; \
-         arm64) NODE_ARCH='arm64' ;; \
-         armhf) NODE_ARCH='armv7l' ;; \
+         amd64) NODE_ARCH="x64" ;; \
+         arm64) NODE_ARCH="arm64" ;; \
          *) echo "Unsupported architecture: ${ARCH}" && exit 1 ;; \
        esac \
-    && curl -fsSL "https://nodejs.org/dist/v${NODE_VERSION}/node-v${NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" -o /tmp/node.tar.xz \
+    && curl -fsSL "https://nodejs.org/dist/v${NODE_VERSION}/node-v${NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" \
+       -o /tmp/node.tar.xz \
     && tar -xJf /tmp/node.tar.xz -C /usr/local --strip-components=1 \
     && rm /tmp/node.tar.xz \
+    && ln -sf /usr/local/bin/node /usr/local/bin/nodejs \
     && node --version \
     && npm --version
 
diff --git a/local-build/Dockerfile.base b/local-build/Dockerfile.base
@@ -14,9 +14,9 @@ LABEL org.opencontainers.image.licenses="MIT"
 # 非対話的インストールの設定
 ENV DEBIAN_FRONTEND=noninteractive
 
-# Node.jsのバージョン設定
-# ※ バージョン更新時はここを変更
-ENV NODE_VERSION=25.6.0
+# Node.js バージョン設定
+# NOTE: LTSバージョンは https://nodejs.org/en/download で確認
+ARG NODE_VERSION=25.6.0
 
 # 基本パッケージのインストール
 RUN apt-get update && apt-get install -y --no-install-recommends \
@@ -28,7 +28,6 @@ RUN apt-get update && apt-get install -y --no-install-recommends \
     nano \
     ca-certificates \
     gnupg \
-    xz-utils \
     # ビルドツール
     build-essential \
     # データベース
@@ -41,22 +40,24 @@ RUN apt-get update && apt-get install -y --no-install-recommends \
     jq \
     zip \
     unzip \
+    xz-utils \
     && apt-get clean \
     && rm -rf /var/lib/apt/lists/*
 
-# Node.js LTS のインストール（公式バイナリを直接使用）
-# NodeSourceリポジトリはDebian 13のSHA1拒否ポリシーに対応していないため、
-# Node.js公式バイナリを直接ダウンロードしてインストール
+# Node.js LTS のインストール（公式バイナリを直接ダウンロード）
+# NOTE: NodeSourceリポジトリのGPG署名（SHA1）がDebian Trixieで拒否されるため、
+#       公式バイナリを直接インストールする方式に変更（2026年2月以降の対応）
 RUN ARCH=$(dpkg --print-architecture) \
     && case "${ARCH}" in \
-         amd64) NODE_ARCH='x64' ;; \
-         arm64) NODE_ARCH='arm64' ;; \
-         armhf) NODE_ARCH='armv7l' ;; \
+         amd64) NODE_ARCH="x64" ;; \
+         arm64) NODE_ARCH="arm64" ;; \
          *) echo "Unsupported architecture: ${ARCH}" && exit 1 ;; \
        esac \
-    && curl -fsSL "https://nodejs.org/dist/v${NODE_VERSION}/node-v${NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" -o /tmp/node.tar.xz \
+    && curl -fsSL "https://nodejs.org/dist/v${NODE_VERSION}/node-v${NODE_VERSION}-linux-${NODE_ARCH}.tar.xz" \
+       -o /tmp/node.tar.xz \
     && tar -xJf /tmp/node.tar.xz -C /usr/local --strip-components=1 \
     && rm /tmp/node.tar.xz \
+    && ln -sf /usr/local/bin/node /usr/local/bin/nodejs \
     && node --version \
     && npm --version
 
