Npm, true olarak ayarlanmış yoksayma komut dosyalarıyla nasıl farklı davranır?


11

Konuşmacının çalışmasını önerdiği bir konuşmayı izledim :

npm config set ignore-scripts true

böylece bir paketin yükleme sonrası komut dosyaları ve yükleme öncesi komut dosyaları çalışmaz. Bu şekilde, kötü amaçlı bir paketteki virüslerden kaçınırsınız.

Benim sorum: Bu komutu çalıştırdıktan sonra, npm install paketleri ve bir proje içinde çalışmak için farklı bir şey yapmak gerekir?

Bu komutu çalıştırmak npm kullanırken ek bir rahatsızlık vermezse, çalıştırmanın dezavantajı olmaz. Sadece virüslerden kaçınmanıza yardımcı olur.

Durum böyleyse, bu neden varsayılan ayar olmasın?

Soruyorum çünkü paket komut dosyalarını göz ardı ederek npm paketlerinin farklı davranacağını ve birinin daha fazla şeyi manuel olarak yapması gerektiğini varsayıyorum.


5
Bazı paketler çalıştırmak pre/ post -installsetup / yapılandırma amaçlı komut dosyalarını. Oluştururken, diğer taraftan ignore-scriptsetmek true olabilir çoğu zaman can zararlı kod hafifletmek ve yapar, paketin (ler) de sonuç basitçe değil işlevi olduğunu yüklenen.
RobC

Yanıtlar:


0

Burada @RobC ile hemfikirim. Ayrıca, benim için package.jsontamamen benim için özel komut dosyaları çalıştırmayı devre dışı bıraktı , bu da artık özel komut dosyalarınızı tanımlayıp çalıştıramayacağınız için bir anlaşma kırıcı.

Her ne kadar bu güvenlik endişeleri hakkında düşünmek yararlı olsa da, koşmanın npm config set ignore-scripts truedoğru seçenek olduğunu düşünmüyorum . Ben de koştum ve özel paket betiklerimi çalıştırmak için geri kapatmak sona erdi.

Videonun tavsiyesi çok sağlam değildi, sanırım ...

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.