Saya hanya menonton ceramah di mana pembicara disarankan untuk berlari:
npm config set ignore-scripts true
sehingga skrip post-instal dan skrip pra-instal paket tidak berjalan. Dengan begitu, Anda akan terhindar dari virus dalam paket jahat.
Pertanyaan saya adalah: Setelah menjalankan perintah ini, haruskah saya melakukan sesuatu yang berbeda untuk menginstal paket npm dan membuatnya bekerja dalam suatu proyek?
Jika menjalankan perintah ini datang tanpa ketidaknyamanan tambahan saat menggunakan npm, maka menjalankannya tidak akan memiliki kerugian. Itu hanya akan membantu Anda menghindari virus.
Jika ini masalahnya, mengapa ini tidak menjadi pengaturan default?
Saya bertanya karena saya berasumsi bahwa dengan mengabaikan skrip paket, paket npm akan berperilaku berbeda dan kita harus melakukan lebih banyak hal secara manual.
sumber
pre
/post
-install
skrip untuk keperluan pengaturan / konfigurasi. Sementara pengaturanignore-scripts
untuktrue
dapat mengurangi kode berbahaya bisa, dan sering, hasilnya dalam paket (s) yang diinstal yang hanya tidak berfungsi.Jawaban:
Saya setuju dengan @RobC di sini. Itu juga menonaktifkan menjalankan skrip khusus di saya
package.json
sepenuhnya untuk saya, yang jelas merupakan pemecah kesepakatan karena Anda tidak dapat mendefinisikan dan menjalankan skrip khusus Anda lagi.Meskipun mungkin berguna untuk memikirkan masalah keamanan ini, saya tidak berpikir menjalankan
npm config set ignore-scripts true
adalah pilihan yang tepat. Saya menjalankannya juga dan akhirnya mematikannya untuk terus menjalankan skrip paket khusus saya.Jadi saran dari video akhirnya tidak terlalu baik, saya kira ...
sumber