W jaki sposób npm zachowuje się inaczej, gdy skrypty ignorujące są ustawione na true?

11

Właśnie obejrzałem przemówienie, w którym mówca zalecił bieganie:

npm config set ignore-scripts true

tak aby skrypty poinstalacyjne i skrypty przedinstalacyjne pakietu nie były uruchamiane. W ten sposób unikniesz wirusa w złośliwym pakiecie.

Moje pytanie brzmi: czy po uruchomieniu tego polecenia muszę zrobić coś inaczej, aby npm zainstalować pakiety i sprawić, by działały w ramach projektu?

Jeśli uruchomienie tego polecenia nie wiąże się z żadnymi dodatkowymi niedogodnościami podczas korzystania z npm, to uruchomienie go nie miałoby żadnych wad. Pomoże to tylko uniknąć wirusów.

Jeśli tak było, dlaczego nie byłoby to ustawienie domyślne?

Pytam, ponieważ zakładam, że ignorując skrypty pakietów, pakiety npm będą zachowywać się inaczej i trzeba będzie robić więcej rzeczy ręcznie.

Dan
źródło
5
Niektóre pakiety działają pre/ post -installskrypty dla celów konfiguracji / konfiguracji. Podczas ustawiania ignore-scriptssię true może łagodzić szkodliwy kod może, i często robi, wynik w pakiet (y) są zainstalowane, które po prostu nie działają.
RobC

Odpowiedzi:

0

Zgadzam się z @RobC tutaj. Dezaktywowałem także uruchamianie niestandardowych skryptów w moim package.jsonprzypadku, co oczywiście stanowi przełom, ponieważ nie możesz już definiować i uruchamiać własnych skryptów.

Chociaż prawdopodobnie warto zastanowić się nad tymi kwestiami bezpieczeństwa, nie sądzę, aby bieganie npm config set ignore-scripts truebyło właściwą opcją. Uruchomiłem go również i ostatecznie wyłączyłem, aby nadal uruchamiać niestandardowe skrypty pakietu.

Więc porady z tego filmu nie były zbyt rozsądne, tak myślę ...

Leon Tepe
źródło