Як npm поводиться по-різному з ігноруючими скриптами, встановленими на true?


11

Я щойно дивився розмову, де спікер рекомендував працювати:

npm config set ignore-scripts true

так що сценарії після встановлення та попередньо встановлені сценарії пакету не запускаються. Таким чином, ви б уникнули вірусу в шкідливій упаковці.

Моє запитання: Після запуску цієї команди я повинен зробити щось інакше, щоб встановити пакети npm і змусити їх працювати в рамках проекту?

Якщо ця команда не матиме додаткових незручностей при використанні npm, то запуск її не матиме жодних недоліків. Це тільки допоможе вам уникнути вірусів.

Якщо це було так, чому б це не було налаштуванням за замовчуванням?

Я прошу, тому що я припускаю, що, ігноруючи сценарії пакетів, пакети npm поводитимуться б по-різному, і потрібно було б робити більше речей вручну.


5
Деякі пакети виконують pre/ post -installсценарії для налаштування / налаштування. У той час як установка ignore-scriptsдля true може зменшити шкідливий код він може, і часто робить, результат в пакет (и) встановлюється , що просто не працюють.
RobC

Відповіді:


0

Я згоден з @RobC тут. Він також відключив запуск спеціальних сценаріїв в моєму package.jsonповністю для мене, що, очевидно, є вимикачем угод, оскільки ви більше не можете визначити та запустити власні скрипти.

Хоча, мабуть, корисно подумати над цими проблемами безпеки, я не думаю, що біг npm config set ignore-scripts true- це правильний варіант. Я також запустив його і в кінцевому підсумку відключив його, щоб продовжувати виконувати свої власні сценарії пакунків.

Тож порада з відео закінчилася не надто здоровою, я думаю ...

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.