Właśnie obejrzałem przemówienie, w którym mówca zalecił bieganie:
npm config set ignore-scripts true
tak aby skrypty poinstalacyjne i skrypty przedinstalacyjne pakietu nie były uruchamiane. W ten sposób unikniesz wirusa w złośliwym pakiecie.
Moje pytanie brzmi: czy po uruchomieniu tego polecenia muszę zrobić coś inaczej, aby npm zainstalować pakiety i sprawić, by działały w ramach projektu?
Jeśli uruchomienie tego polecenia nie wiąże się z żadnymi dodatkowymi niedogodnościami podczas korzystania z npm, to uruchomienie go nie miałoby żadnych wad. Pomoże to tylko uniknąć wirusów.
Jeśli tak było, dlaczego nie byłoby to ustawienie domyślne?
Pytam, ponieważ zakładam, że ignorując skrypty pakietów, pakiety npm będą zachowywać się inaczej i trzeba będzie robić więcej rzeczy ręcznie.
źródło
pre
/post
-install
skrypty dla celów konfiguracji / konfiguracji. Podczas ustawianiaignore-scripts
siętrue
może łagodzić szkodliwy kod może, i często robi, wynik w pakiet (y) są zainstalowane, które po prostu nie działają.Odpowiedzi:
Zgadzam się z @RobC tutaj. Dezaktywowałem także uruchamianie niestandardowych skryptów w moim
package.json
przypadku, co oczywiście stanowi przełom, ponieważ nie możesz już definiować i uruchamiać własnych skryptów.Chociaż prawdopodobnie warto zastanowić się nad tymi kwestiami bezpieczeństwa, nie sądzę, aby bieganie
npm config set ignore-scripts true
było właściwą opcją. Uruchomiłem go również i ostatecznie wyłączyłem, aby nadal uruchamiać niestandardowe skrypty pakietu.Więc porady z tego filmu nie były zbyt rozsądne, tak myślę ...
źródło