@cocorograph/hub-agent 0.5.23 → 0.5.25

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@cocorograph/hub-agent",
-  "version": "0.5.23",
+  "version": "0.5.25",
   "description": "Hub Hosted Cockpit のローカル常駐 agent。Hub と outbound WSS で接続し、ローカルの tmux/pty を中継する。",
   "type": "module",
   "license": "UNLICENSED",

package/scripts/install.sh

@@ -21,7 +21,17 @@
 
 set -euo pipefail
 
-NODE_MIN_MAJOR=20
+# Node.js のサポート範囲ポリシー（Active LTS のみ）。
+# - 既存 node のメジャーが [MIN, MAX] に収まっていれば現状維持
+# - 範囲外なら NODE_DEFAULT_BREW_FORMULA (最新 Active LTS) にアップ / ダウングレード
+# 2026-05 時点の LTS スケジュール:
+#   - node 22: Active LTS → 2027/04 EoL
+#   - node 24: Active LTS → 2028/04 EoL（最新、サポート期間最長）
+#   - node 26: current（LTS ではない、SSL/CA 周りの問題報告あり）
+NODE_MIN_MAJOR=22
+NODE_MAX_MAJOR=24
+NODE_DEFAULT_BREW_FORMULA="node@24"
+
 PACKAGE_NAME="@cocorograph/hub-agent"
 CLAUDE_CODE_PACKAGE="@anthropic-ai/claude-code"
 
@@ -204,6 +214,183 @@ ensure_npm_user_prefix() {
   done
 }
 
+# =============================================================================
+# Node TLS 環境の自動修復
+#
+# 背景: npm install で `UNABLE_TO_GET_ISSUER_CERT_LOCALLY` が出る環境がある。
+# 原因は「node は OS の信頼ストアを使わず、自分にコンパイル時に焼き込まれた
+# CA リストだけで TLS 検証する」設計にある:
+#
+#   - curl は macOS Keychain (or /etc/ssl/certs) を使う → 通る
+#   - node はバンドル CA のみ → 通らない
+#
+# テナント環境では以下のいずれかで MITM 的な証明書差し替えが起きうる:
+#   - ウィルス対策ソフト (Sophos / Trend Micro / Norton / Symantec / Kaspersky 等)
+#   - 企業の SSL インスペクション proxy (ZScaler / Cloudflare WARP for Teams 等)
+#   - VPN クライアントによるトラフィック検査
+#   - 広告ブロッカー (NextDNS / AdGuard / 1.1.1.1 等)
+#   - 親会社配布のセキュリティアプリ
+#
+# どれもユーザー操作なしには検出しにくく、ユーザー自身も気づいていないことが多い。
+#
+# 対処: ユーザーが既に OS で信頼している CA バンドルを node にも渡せば、curl と
+# node の信頼ストアの乖離が解消する。`NODE_EXTRA_CA_CERTS` 環境変数を使えば
+# node のバンドル CA に「追加で」信頼する証明書を渡せる (バンドル CA を置き換える
+# わけではないので、通常環境への副作用はない)。
+#
+# 1. pre-flight check で node の TLS が通るかテスト
+# 2. 失敗時のみ、OS の信頼ストアを PEM に書き出して NODE_EXTRA_CA_CERTS にセット
+# 3. シェル profile (.zprofile / .bash_profile) にも追記して永続化
+# 4. 再テスト → ダメなら明確な日本語エラーガイドで終了
+# =============================================================================
+
+# node 側 TLS で npm registry に到達できるかテスト。成功で 0、失敗で 1。
+# stderr の最後の行を grep 用に echo するので、呼び出し側で原因種別を判定できる。
+_test_node_tls() {
+  if ! present node; then
+    return 1
+  fi
+  # node -e で出る ERR_TLS_CERT_ALTNAME_INVALID 等の他種別エラーは別途扱う必要が
+  # あるため戻り値だけで判定。stdout/stderr は呼び出し側で破棄してよい。
+  node -e "require('https').get('https://registry.npmjs.org/', r => { process.exit(r.statusCode >= 400 ? 1 : 0); }).on('error', e => { console.error(e.code || e.message); process.exit(1); });" 2>&1
+}
+
+# OS の信頼ストア (system / login keychain or /etc/ssl/certs) を PEM に書き出す。
+# 返り値: 成功なら 0 + ファイルパスを stdout に echo / 失敗なら 1。
+_export_os_ca_bundle() {
+  local out_pem="$HOME/.hub-agent-ca.pem"
+  case "$(uname -s)" in
+    Darwin)
+      # System.keychain には企業配布 CA や手動追加 CA、SystemRootCertificates.keychain
+      # には Apple 配布の標準 root CA が入っている。両方をマージ。
+      # `-p` で PEM 形式、`-a` で全件出力。pemcat に近い操作。
+      {
+        security find-certificate -a -p /Library/Keychains/System.keychain 2>/dev/null || true
+        security find-certificate -a -p /System/Library/Keychains/SystemRootCertificates.keychain 2>/dev/null || true
+      } > "$out_pem"
+      ;;
+    Linux)
+      # Debian/Ubuntu 系
+      if [[ -r /etc/ssl/certs/ca-certificates.crt ]]; then
+        cp /etc/ssl/certs/ca-certificates.crt "$out_pem"
+      # RHEL/CentOS/Fedora 系
+      elif [[ -r /etc/pki/tls/certs/ca-bundle.crt ]]; then
+        cp /etc/pki/tls/certs/ca-bundle.crt "$out_pem"
+      # SUSE 系
+      elif [[ -r /var/lib/ca-certificates/ca-bundle.pem ]]; then
+        cp /var/lib/ca-certificates/ca-bundle.pem "$out_pem"
+      else
+        return 1
+      fi
+      ;;
+    *)
+      return 1
+      ;;
+  esac
+  if [[ ! -s "$out_pem" ]]; then
+    rm -f "$out_pem"
+    return 1
+  fi
+  echo "$out_pem"
+}
+
+# シェル profile に `export NODE_EXTRA_CA_CERTS=...` を追記する。
+# 既に同じパス指定の export 行があればスキップ (idempotent)。
+_persist_node_extra_ca_certs() {
+  local ca_path="$1"
+  local snippet="export NODE_EXTRA_CA_CERTS=\"$ca_path\""
+  local marker="# >>> hub-agent: NODE_EXTRA_CA_CERTS (TLS fallback) >>>"
+  local end_marker="# <<< hub-agent: NODE_EXTRA_CA_CERTS <<<"
+  local target
+  for target in "$HOME/.zprofile" "$HOME/.bash_profile"; do
+    [[ -e "$target" ]] || touch "$target"
+    if grep -Fq "$snippet" "$target" 2>/dev/null; then
+      continue
+    fi
+    {
+      printf '\n%s\n' "$marker"
+      printf '%s\n' "$snippet"
+      printf '%s\n' "$end_marker"
+    } >> "$target"
+    color_ok "$target に NODE_EXTRA_CA_CERTS を追記"
+  done
+}
+
+# 「UNABLE_TO_GET_ISSUER_CERT_LOCALLY が出た時に何を確認すべきか」のガイド表示。
+# フォールバックも効かなかった最終手段ケース用。
+_print_tls_failure_guidance() {
+  # ヘッダーだけ printf で色付け。本文は cat <<EOF で複数行を読みやすく出す。
+  printf '\n\033[1;31m✗ node の TLS 検証が修復できませんでした。\033[0m\n'
+  cat <<EOF
+
+  curl は通るのに node だけ落ちる場合、お使いの Mac/PC に
+  HTTPS 通信を検査しているソフトが入っている可能性が高いです。
+  典型例:
+    - ウィルス対策ソフト (Sophos / Norton / Trend Micro / Symantec 等)
+    - 親会社配布のセキュリティアプリ
+    - SSL インスペクション機能つきの VPN クライアント
+    - 広告ブロッカー (NextDNS / 1.1.1.1 for Families / AdGuard 等)
+
+  以下のコマンドで「実際の証明書発行者」が見えます。
+  ここに表示される \`issuer\` が \`Let's Encrypt\` や \`DigiCert\` ではなく、
+  特定のソフト名 (ZScaler / Cocorograph / 製品名 等) なら、それが原因です:
+
+    node -e 'const t=require("tls");const s=t.connect(443,"registry.npmjs.org",{servername:"registry.npmjs.org",rejectUnauthorized:false},()=>{let c=s.getPeerCertificate(true);while(c&&Object.keys(c).length){console.log("issuer:",JSON.stringify(c.issuer));if(!c.issuerCertificate||c.issuerCertificate===c)break;c=c.issuerCertificate;}s.end();});'
+
+  暫定的に install を進めたい場合（自分の環境を信頼している前提）:
+
+    npm install -g $PACKAGE_NAME --strict-ssl=false
+    npm install -g $CLAUDE_CODE_PACKAGE --strict-ssl=false
+    hub-agent enroll <token> --hub-url <hub-url>
+    hub-agent install-service
+
+  詳細サポートは Hub の cockpit チャネルへ。
+
+EOF
+}
+
+# pre-flight TLS 検査 + 自動 fallback の本体。
+# main() から ensure_npm_user_prefix の直後で呼ぶ想定。
+ensure_node_tls_works() {
+  # Linux の中には node を持たない経路 (本スクリプトより前に node が入る) もあるので
+  # node が無ければスキップ (後段の ensure_global_install で別エラーになる)。
+  present node || return 0
+
+  color_step "node の TLS 検証を pre-flight check"
+
+  # ステップ 0: brew link 直後はシェル command hash に古い node/npm パスが残る
+  # ことがあるので、念のためクリアしてから検査する。
+  hash -r 2>/dev/null || true
+
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (registry.npmjs.org に到達可能)"
+    return 0
+  fi
+
+  color_warn "node TLS 検証失敗 → OS 信頼ストアから CA をエクスポートして再試行"
+
+  local ca_pem
+  if ! ca_pem=$(_export_os_ca_bundle); then
+    color_err "OS の信頼ストア (macOS Keychain / Linux ca-certificates) からの CA エクスポートに失敗"
+    _print_tls_failure_guidance
+    exit 1
+  fi
+  color_ok "$ca_pem に OS 信頼ストアの CA を書き出し ($(wc -l < "$ca_pem" | tr -d ' ') 行)"
+
+  export NODE_EXTRA_CA_CERTS="$ca_pem"
+  _persist_node_extra_ca_certs "$ca_pem"
+
+  # 再テスト
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (NODE_EXTRA_CA_CERTS=$ca_pem 経由)"
+    return 0
+  fi
+
+  color_err "OS 信頼ストアを渡しても node TLS 検証が通りません"
+  _print_tls_failure_guidance
+  exit 1
+}
+
 ensure_pkg() {
   local cmd="$1"
   local brew_pkg="$2"
@@ -225,23 +412,55 @@ ensure_pkg() {
   fi
 }
 
+# macOS で brew 経由で Active LTS の node (NODE_DEFAULT_BREW_FORMULA) を導入/切替する。
+# 既存の無印 node が link されていれば unlink してから新 formula を link --overwrite --force。
+_install_node_lts_brew() {
+  local formula="$NODE_DEFAULT_BREW_FORMULA"
+  color_step "$formula (Active LTS) を install"
+  brew install "$formula"
+  # 既存無印 node が link されていれば外す（v26 current 等を退かす）
+  if brew list node >/dev/null 2>&1; then
+    color_step "既存 'node' formula を unlink ($formula を優先するため)"
+    brew unlink node 2>/dev/null || true
+  fi
+  color_step "$formula を link --overwrite --force"
+  brew link --overwrite --force "$formula"
+  hash -r 2>/dev/null || true
+}
+
+# Node.js のサポート範囲ポリシー判定。
+# - 未インストール → LTS を install
+# - [MIN, MAX] 範囲内 → 現状維持（ユーザーの環境を尊重）
+# - 範囲未満 → LTS にアップグレード
+# - 範囲超過（current 系等） → LTS にダウングレード
 ensure_node_version() {
   local v
   v=$(node --version 2>/dev/null | sed 's/^v//' | cut -d. -f1)
   if [[ -z "$v" ]]; then
-    ensure_pkg node node nodejs
-    return
-  fi
-  if (( v < NODE_MIN_MAJOR )); then
-    color_warn "node $v は古いです (>=${NODE_MIN_MAJOR} 必須)。brew で更新を試みます"
+    color_step "node が未インストール → $NODE_DEFAULT_BREW_FORMULA (Active LTS) を install"
     if [[ "$(uname)" == "Darwin" ]]; then
-      brew upgrade node || brew install node
+      _install_node_lts_brew
     else
-      color_err "Node ${NODE_MIN_MAJOR}+ を手動で install してください (nvm 推奨)"
-      exit 1
+      ensure_pkg node node nodejs
     fi
+    return
+  fi
+
+  if (( v >= NODE_MIN_MAJOR && v <= NODE_MAX_MAJOR )); then
+    color_ok "node v$v は動作保証範囲 (${NODE_MIN_MAJOR} ≤ v ≤ ${NODE_MAX_MAJOR}) 内。現状維持"
+    return
+  fi
+
+  if (( v < NODE_MIN_MAJOR )); then
+    color_warn "node v$v は古い (>=${NODE_MIN_MAJOR} 必須) → $NODE_DEFAULT_BREW_FORMULA にアップグレード"
   else
-    color_ok "node $v"
+    color_warn "node v$v は新しすぎ (current 系) → 安定動作のため $NODE_DEFAULT_BREW_FORMULA (LTS) にダウングレード"
+  fi
+  if [[ "$(uname)" == "Darwin" ]]; then
+    _install_node_lts_brew
+  else
+    color_err "Node $NODE_MIN_MAJOR〜$NODE_MAX_MAJOR の LTS を手動で install してください (nvm 推奨)"
+    exit 1
   fi
 }
 
@@ -329,6 +548,11 @@ main() {
   ensure_pkg tmux tmux tmux
   ensure_node_version
   ensure_npm_user_prefix
+  # ensure_node_version 直後だと brew link でシェルの command hash がズレている
+  # 場合があるため、prefix 設定後にまとめて TLS pre-flight check + 自動 fallback
+  # を行う。失敗時はガイダンス付きで exit するので、後段の npm install で TLS
+  # エラーを再度浴びる経路はカットされる。
+  ensure_node_tls_works
   ensure_global_install
   ensure_claude_code
   do_enroll