Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung

Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung

lschvn6 Min. Lesezeit

2025 war das Jahr, in dem TypeScript aufhörte, eine beliebte Alternative zu sein, und zur Standardsprache des JavaScript-Ökosystems wurde. Diese Vorherrschaft brachte neuen Druck mit sich: Compiler-Leistungsengpässe, Supply-Chain-Prüfungen und Sicherheitsschwachstellen, die an der Schnittstelle von Typen und Runtime leben.

TypeScript wird GitHubs #1-Sprache

Im August 2025 meldete GitHub, dass TypeScript mit 2.636.006 monatlichen Contributoren zur meistgenutzten Sprache auf der Plattform geworden war, ein Anstieg von 66% im Jahresvergleich. GitHub nannte dies die bedeutendste Sprachverschiebung seit über einem Jahrzehnt. JavaScript führt noch bei der Repository-Anzahl, aber die Richtung ist klar: Neue Projekte setzen zunehmend standardmäßig auf TypeScript, und das Tooling-Ökosystem ist gefolgt.

Project Corsa: Der Go-Rewrite kommt

Microsoft kündigte Project Corsa Anfang 2025 an: einen nativen Port des TypeScript-Compilers und Sprachdienstes nach Go. Das Ziel sind etwa 10x schnellere Builds und nahezu instante inkrementelle Kompilierung. Erste Benchmarks waren eindrucksvoll, die VS-Code-Codebase fiel von 77,8 Sekunden auf 7,5 Sekunden; Playwright von 11,1 auf 1,1 Sekunden.

TypeScript 6.0, erschienen im Q1 2026, ist als letzte Major-Version auf dem aktuellen JavaScript-basierten Codebase geplant. TypeScript 7.0 (Mitte 2026 erwartet) soll die erste Version sein, die auf dem Go-basierten Compiler aufbaut. Plugin-Autoren, die die Compiler-API nutzen, müssen die Kompatibilität mit der neuen Implementierung prüfen.

Native TypeScript-Ausführung in Node.js

Node.js 22.18 stabilisierte die native TypeScript-Ausführung via Type Stripping. Anstatt .ts vor der Ausführung nach .js zu transpilieren, versteht Node.js nun, welche TypeScript-Syntax löschbar ist (Typen, Interfaces) und welche Runtime ist (Enums, Namespaces), und führt letztere direkt aus. Das Flag --erasableSyntaxOnly formalisiert diese Einschränkung.

Für viele Projekte entfällt damit der Bedarf an ts-node und tsx als Dev-Abhängigkeiten. Für typbewusste Bibliotheken bedeutet das, Patterns wie Enum-Nutzung zugunsten von as const-Objekten und ES-Modulen zu überdenken.

Die Supply-Chain-Rechnung

Drei koordinierte Vorfälle stachen 2025 heraus:

s1ngularity: Eine automatisierte Kampagne, die mehrere weit verbreitete Pakete kompromittierte, indem sie Wartende-Authentifizierungslücken ausnutzte.

debug/chalk: Zwei fundamentale Pakete, in praktisch jedem JavaScript-Projekt verwendet, wurden durch Übernahmen von Wartende-Konten kompromittiert. Die Reichweite war enorm.

Shai-Hulud: Eine von der CISA dokumentierte Kampagne gegen das npm-Ökosystem im September 2025, die CI-Workflow-Schwachstellen nutzte, um bösartige Versionen unter legitimen Paketnamen zu veröffentlichen.

Die Reaktion war systemisch: npm erzwingt nun umfassender Zwei-Faktor-Authentifizierung bei der Veröffentlichung, die Community drängt auf granulare kurzlebige Tokens, und Organisationen überprüfen ihre Abhängigkeitsbäume mit neuer Dringlichkeit.

React2Shell: Der CVSS-10.0-Weckruf

Next.js-Anwendungen, die React Server Components nutzten, erwiesen sich als verwundbar durch CVE-2025-55182, eine Remotecode-Ausführungsschwachstelle mit einem CVSS-Score von 10.0. Der Fehler lag in der Serialisierungsbehandlung von serverseitigen Daten in RSC, eine Klasse von Schwachstellen, die theoretisch verstanden, aber nie in diesem Schweregrad weaponisiert worden war.

Der Patch erschien im Dezember 2025, aber der Vorfall veränderte die Art, wie die Community über die Grenze zwischen Server und Client in Reacts Komponentenmodell denkt. Full-Stack-JavaScript-Frameworks stehen nun unter stärkerer Beobachtung durch Sicherheitsforscher.

Ausblick: TypeScript 7 und die strenge Zukunft

Der State-of-TypeScript-2026-Bericht beschreibt eine Roadmap für 2026, die von Migration dominiert wird. TypeScript 7 ist nicht nur ein Leistungsupgrade, es bringt breaking Changes. Der strict-Modus wird standardmäßig aktiviert, ES5-Targeting wird fallengelassen (nur ES2015+), baseUrl wird entfernt, und die klassische Node-Modulauflösung verschwindet.

Die Dominanz von TypeScript steht außer Frage. Was noch zu sehen bleibt, ist, wie das Ökosystem die damit einhergehende Komplexität bewältigt.

Häufig gestellte Fragen

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Node.js 26.3.0: Buffer-Pool verdoppelt, permission.drop() Methode,macOS Intel-Binary vor dem Aus
security

Node.js 26.3.0: Buffer-Pool verdoppelt, permission.drop() Methode,macOS Intel-Binary vor dem Aus

Node.js 26.3.0 bringt einen standardmäßigen Buffer.poolSize von 64 KiB, die neue Methode permission.drop() zur feingranularen Abgabe von Berechtigungen, eine Warnung zu macOS Universal-Binaries und gehärtetes WebCrypto. npm wird auf 11.16.0 aktualisiert.
Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches
security

Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches

Node.js veröffentlichte am 24. März 2026 Notfall-Sicherheitspatches für v25, v24, v22 und v20, darunter zwei High-Severity-CVEs. Hier sind die Details.
Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche
security

Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche

Fastify v5.9.0, veröffentlicht am 2026-06-28 (github.com/fastify/fastify), ist die erste Minor-Version der v5-Linie im Jahr 2026 und ein substanzieller 65-PR-Zyklus. Die Hauptfunktionen sind `request.mediaType` (ein typisierter Accessor für den ausgehandelten Medientyp, [#6653](https://github.com/fastify/fastify/pull/6653) von climba03003), die Routen-Option `onMaxParamLength` ([#6716](https://github.com/fastify/fastify/pull/6716) von climba03003) und ein Sicherheitsfix, das `X-Forwarded-Host` und `X-Forwarded-Proto` nicht mehr vertraut, wenn der eingehende Socket fehlt ([#6684](https://github.com/fastify/fastify/pull/6684) von mcollina). Der Zyklus liefert einen HTTP/2-Buffer-Chunking-Fix für große Antworten ([#6746](https://github.com/fastify/fastify/pull/6746) von mcollina), drei schema-bezogene Performance-Gewinne (verzögertes `getSchemaSerializer`-Content-Type-Parsing #6692, gecachte `ContentType`-Objekte im `ContentTypeParser` #6694, `typeof`-Wache vor `toString.call` in `send` / `onSendEnd` #6693 von aquie00t), Node.js 26 zur Test-Matrix hinzugefügt ([#6728](https://github.com/fastify/fastify/pull/6728) von Fdawgs) und Node.js 20 aus der yarn-CI-Matrix entfernt ([#6662](https://github.com/fastify/fastify/pull/6662) von Tony133), die Migration der Typ-Test-Suite von handgeschriebenen `expect-type`-Assertions zu [TSTyche](https://github.com/mrazauskas/tstyche) ([#6532](https://github.com/fastify/fastify/pull/6532) von mrazauskas, mit Folge-PRs #6726 und #6727), und ein TypeScript-only fastify-plugin v6.0.0-Bump. Weitere bemerkenswerte Fixes: Trailer-`res.end`-Deduplizierung (#6676), Trailer-Duplikat-Completion-Wache (#6714), `error.code` auf Routing-Fehlern (#6678), `hasRequestDecorator` / `hasReplyDecorator` erkennen konstruktor-zugewiesene Built-in-Eigenschaften (#6753), `getValidationFunction()` darf `undefined` zurückgeben (#6665), und ein Socket-`_meta`-Clear, der ein Keep-Alive-Leck schließt (#6799).

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.