2025 war das Jahr, in dem TypeScript aufhörte, eine beliebte Alternative zu sein, und zur Standardsprache des JavaScript-Ökosystems wurde. Diese Vorherrschaft brachte neuen Druck mit sich: Compiler-Leistungsengpässe, Supply-Chain-Prüfungen und Sicherheitsschwachstellen, die an der Schnittstelle von Typen und Runtime leben.
TypeScript wird GitHubs #1-Sprache
Im August 2025 meldete GitHub, dass TypeScript mit 2.636.006 monatlichen Contributoren zur meistgenutzten Sprache auf der Plattform geworden war — ein Anstieg von 66% im Jahresvergleich. GitHub nannte dies die bedeutendste Sprachverschiebung seit über einem Jahrzehnt. JavaScript führt noch bei der Repository-Anzahl, aber die Richtung ist klar: Neue Projekte setzen zunehmend standardmäßig auf TypeScript, und das Tooling-Ökosystem ist gefolgt.
Project Corsa: Der Go-Rewrite kommt
Microsoft kündigte Project Corsa Anfang 2025 an: einen nativen Port des TypeScript-Compilers und Sprachdienstes nach Go. Das Ziel sind etwa 10x schnellere Builds und nahezu instante inkrementelle Kompilierung. Erste Benchmarks waren eindrucksvoll — die VS-Code-Codebase fiel von 77,8 Sekunden auf 7,5 Sekunden; Playwright von 11,1 auf 1,1 Sekunden.
TypeScript 6.0, erschienen im Q1 2026, ist als letzte Major-Version auf dem aktuellen JavaScript-basierten Codebase geplant. TypeScript 7.0 (Mitte 2026 erwartet) soll die erste Version sein, die auf dem Go-basierten Compiler aufbaut. Plugin-Autoren, die die Compiler-API nutzen, müssen die Kompatibilität mit der neuen Implementierung prüfen.
Native TypeScript-Ausführung in Node.js
Node.js 22.18 stabilisierte die native TypeScript-Ausführung via Type Stripping. Anstatt .ts vor der Ausführung nach .js zu transpilieren, versteht Node.js nun, welche TypeScript-Syntax löschbar ist (Typen, Interfaces) und welche Runtime ist (Enums, Namespaces), und führt letztere direkt aus. Das Flag --erasableSyntaxOnly formalisiert diese Einschränkung.
Für viele Projekte entfällt damit der Bedarf an ts-node und tsx als Dev-Abhängigkeiten. Für typbewusste Bibliotheken bedeutet das, Patterns wie Enum-Nutzung zugunsten von as const-Objekten und ES-Modulen zu überdenken.
Die Supply-Chain-Rechnung
Drei koordinierte Vorfälle stachen 2025 heraus:
s1ngularity: Eine automatisierte Kampagne, die mehrere weit verbreitete Pakete kompromittierte, indem sie Wartende-Authentifizierungslücken ausnutzte.
debug/chalk: Zwei fundamentale Pakete — in praktisch jedem JavaScript-Projekt verwendet — wurden durch Übernahmen von Wartende-Konten kompromittiert. Die Reichweite war enorm.
Shai-Hulud: Eine von der CISA dokumentierte Kampagne gegen das npm-Ökosystem im September 2025, die CI-Workflow-Schwachstellen nutzte, um bösartige Versionen unter legitimen Paketnamen zu veröffentlichen.
Die Reaktion war systemisch: npm erzwingt nun umfassender Zwei-Faktor-Authentifizierung bei der Veröffentlichung, die Community drängt auf granulare kurzlebige Tokens, und Organisationen überprüfen ihre Abhängigkeitsbäume mit neuer Dringlichkeit.
React2Shell: Der CVSS-10.0-Weckruf
Next.js-Anwendungen, die React Server Components nutzten, erwiesen sich als verwundbar durch CVE-2025-55182, eine Remotecode-Ausführungsschwachstelle mit einem CVSS-Score von 10.0. Der Fehler lag in der Serialisierungsbehandlung von serverseitigen Daten in RSC — eine Klasse von Schwachstellen, die theoretisch verstanden, aber nie in diesem Schweregrad weaponisiert worden war.
Der Patch erschien im Dezember 2025, aber der Vorfall veränderte die Art, wie die Community über die Grenze zwischen Server und Client in Reacts Komponentenmodell denkt. Full-Stack-JavaScript-Frameworks stehen nun unter stärkerer Beobachtung durch Sicherheitsforscher.
Ausblick: TypeScript 7 und die strenge Zukunft
Der State-of-TypeScript-2026-Bericht beschreibt eine Roadmap für 2026, die von Migration dominiert wird. TypeScript 7 ist nicht nur ein Leistungsupgrade — es bringt breaking Changes. Der strict-Modus wird standardmäßig aktiviert, ES5-Targeting wird fallengelassen (nur ES2015+), baseUrl wird entfernt, und die klassische Node-Modulauflösung verschwindet.
Die Dominanz von TypeScript steht außer Frage. Was noch zu sehen bleibt, ist, wie das Ökosystem die damit einhergehende Komplexität bewältigt.
