Làm thế nào để npm hành xử khác nhau với các tập lệnh bỏ qua được đặt thành đúng?

11

Tôi vừa xem một cuộc nói chuyện mà diễn giả đề nghị chạy:

npm config set ignore-scripts true

để các tập lệnh sau cài đặt và tập lệnh cài đặt sẵn của gói không chạy. Bằng cách đó, bạn sẽ tránh được virus trong gói độc hại.

Câu hỏi của tôi là: Sau khi chạy lệnh này, tôi có phải làm bất cứ điều gì khác với npm cài đặt các gói và để chúng hoạt động trong một dự án không?

Nếu chạy lệnh này không có bất tiện bổ sung khi sử dụng npm, thì chạy nó sẽ không có nhược điểm. Nó sẽ chỉ giúp bạn tránh virus.

Nếu đây là trường hợp, tại sao đây không phải là cài đặt mặc định?

Tôi hỏi bởi vì tôi cho rằng bằng cách bỏ qua các tập lệnh gói, các gói npm sẽ hoạt động khác đi và người ta sẽ phải làm nhiều việc hơn bằng tay.

node.js  npm  npm-scripts 
Dân
nguồn
5
Một số gói chạy pre/ post -installscript cho mục đích thiết lập / cấu hình. Trong khi thiết ignore-scriptsđể true có thể giảm thiểu mã độc hại có thể, và thường làm, kết quả trong gói (s) đang được cài đặt mà chỉ đơn giản không hoạt động.
RobC

Câu trả lời:

0

Tôi đồng ý với @RobC ở đây. Nó cũng vô hiệu hóa việc chạy các tập lệnh tùy chỉnh package.jsonhoàn toàn đối với tôi, đây rõ ràng là một công cụ giải quyết vì bạn không thể xác định và chạy các tập lệnh tùy chỉnh của mình nữa.

Mặc dù có thể hữu ích khi nghĩ về những lo ngại về bảo mật này, tôi không nghĩ chạy npm config set ignore-scripts truelà lựa chọn phù hợp. Tôi cũng chạy nó và cuối cùng tắt nó đi để tiếp tục chạy các tập lệnh gói tùy chỉnh của tôi.

Vì vậy, lời khuyên từ video cuối cùng không phải là quá nhiều âm thanh, tôi đoán ...

Leon Tepe
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.