Homebrew 6.0.0が公開される、サードパーティーtapの信頼確認を導入しセキュリティ強化へ

macOSやLinux向けのパッケージ管理ツール「Homebrew」の最新版となるHomebrew 6.0.0が2026年6月11日に公開されました。サードパーティーtapの信頼確認を求める「tap trust」、内部JSON APIの標準での有効化、Linux向けサンドボックス、brew bundleの改善、パフォーマンス向上、macOS 27「Golden Gate」への初期対応などのアップデートが含まれています。

Homebrew: 6.0.0
https://brew.sh/2026/06/11/homebrew-6.0.0/

Homebrewは必要なソフトウェアをコマンドひとつで追加できる便利な仕組みです。ただしHomebrewはソフトウェア本体を直接管理しているわけではなく、「どこからダウンロードするか」「どのようにインストールするか」を記述した設定ファイルを利用しており、コマンドラインツール向けの設定ファイルは「formula」、GUIアプリ向けの設定ファイルは「cask」と呼ばれます。

そうしたformulaやcaskの配布元として利用されているのがHomebrew tapです。tapはHomebrew本体とは別にformulaやcaskを配布できるリポジトリで、公式のHomebrew tapだけでなく個人や企業が管理するサードパーティーtapも存在します。

しかし、tapに含まれるformulaやcaskは単なる一覧表ではありません。Homebrewが依存関係を調べたりインストール処理を進めたりするためにtap内のRubyコードを評価する場合があり、サードパーティーtapが悪意を持っていたり乗っ取られたりすると、ユーザーの権限で意図しないコードが実行される可能性があります。便利な拡張機能であるtapがソフトウェアサプライチェーン攻撃の入り口にもなり得るというわけです。

Homebrew 6.0.0で導入されたtap trustは、こうしたリスクを抑えるための新しい信頼確認の仕組みです。公式のHomebrew tapとHomebrewの組み込みコマンドは標準で信頼されますが、サードパーティーtapやtap名を明示したformula、cask、外部コマンドについてはコードが評価または実行される前に明示的な信頼が必要になります。これにより、追加済みのtapだからといって中身が自動的に読み込まれる状況を減らし、乗っ取りや名前の衝突による被害を小さくする狙いがあります。

特定のformulaだけを信頼する場合には「brew trust --formula user/repo/formula」、caskだけを信頼する場合には「brew trust --cask user/repo/cask」を使えば良いとのこと。tap全体を信頼することも可能ですが、Homebrewのドキュメントでは必要なformulaやcaskだけを信頼する方が望ましいと説明されています。Brewfileでも「trusted: true」を付けられるため、チームや自動化環境で「どのtapを信頼しているのか」を明示しやすくなっています。

Homebrew 6.0.0では通信量と更新処理を減らすための変更も行われました。Homebrew 5.0.0以降は「HOMEBREW_USE_INTERNAL_API」で有効化できた内部JSON APIが標準になり、Homebrewのメタデータをまとめて取得することで「brew update」などの処理を高速化し、ネットワークアクセスを減らします。

Linux環境ではBubblewrapを利用したサンドボックスが導入されました。サンドボックスはビルドやテストやインストール後処理でアクセスできる範囲を制限する仕組みで、macOSではすでに同種の保護が行われていました。Homebrew 6.0.0ではLinuxでも保護範囲をそろえる方向に進み、ビルド処理などがユーザーの認証情報やSSHキーのような機密ファイルに触れるリスクを減らすことを目指しています。

また、Homebrewのユーザー調査を受けて「brew install」や「brew upgrade」で変更前に依存関係の要約と確認プロンプトを表示するask modeが標準になりました。変更内容を見てから実行できるため、普段使いのパッケージ管理でも意図しない変更に気付きやすくなります。

複数のマシンで同じ開発環境を再現する「brew bundle」についても、formulaの並列インストールが標準で実行されるようになったほか、npmやkrewへの対応、cleanup機能の拡充、Windowsではwinget対応が追加されるなどのアップデートが行われています。

パフォーマンス面では起動処理の調整やRubyライブラリ読み込みの削減が行われ、「brew leaves」が約30％高速化したとのこと。アップグレード時のbottle情報取得も並列化され、日常的に使うコマンドの待ち時間を減らす改善が入っています。

また、Homebrew 6.0.0ではmacOS 27「Golden Gate」への初期対応も追加されました。macOS 27はIntel Macのサポートを終了するため、Homebrewは2026年9月にmacOS Intel x86_64をTier 3へ移行し、新しいbottleのビルドやCIサポートを行わなくなる予定です。さらに2027年9月にはmacOS Intel x86_64のサポートを完全に終了し、関連コードを削除する予定とのこと。

セキュリティ関連ではtap trust以外にも複数の修正が含まれています。Homebrewは3件のセキュリティアドバイザリを公開し、HTTPSからHTTPへのリダイレクト保護をすり抜ける問題、macOSの.pkg postinstallでGit hooks経由のrootコード実行が可能だった問題、ローカル攻撃者がHomebrewの所有権が割り当てられる可能性があった問題を修正しました。さらにRuby評価時に機密性の高い環境変数をフィルタリングする改善や、caskにチェックサムを要求できるオプションも追加されています。

HomebrewはnpmやPyPIなどで問題になっているソフトウェアサプライチェーン攻撃への対策として、公式tapの変更を人間のメンテナーがレビューすること、formulaのダウンロードにsha256チェックサムを使うこと、bottleをHomebrew側のCIでビルドすること、macOSとLinuxでサンドボックスを使うことなどを挙げています。一方でHomebrewチームは「解決済みの問題ではなく、Homebrewが攻撃を受けないと主張しているわけでもない」と説明しており、サプライチェーンを取り巻く状況を監視しながら必要に応じて追加の対策を続けると述べています。