Bagaimana npm berperilaku berbeda dengan skrip abaikan disetel ke true?


11

Saya hanya menonton ceramah di mana pembicara disarankan untuk berlari:

npm config set ignore-scripts true

sehingga skrip post-instal dan skrip pra-instal paket tidak berjalan. Dengan begitu, Anda akan terhindar dari virus dalam paket jahat.

Pertanyaan saya adalah: Setelah menjalankan perintah ini, haruskah saya melakukan sesuatu yang berbeda untuk menginstal paket npm dan membuatnya bekerja dalam suatu proyek?

Jika menjalankan perintah ini datang tanpa ketidaknyamanan tambahan saat menggunakan npm, maka menjalankannya tidak akan memiliki kerugian. Itu hanya akan membantu Anda menghindari virus.

Jika ini masalahnya, mengapa ini tidak menjadi pengaturan default?

Saya bertanya karena saya berasumsi bahwa dengan mengabaikan skrip paket, paket npm akan berperilaku berbeda dan kita harus melakukan lebih banyak hal secara manual.


5
Beberapa paket menjalankan pre/ post -installskrip untuk keperluan pengaturan / konfigurasi. Sementara pengaturan ignore-scriptsuntuk true dapat mengurangi kode berbahaya bisa, dan sering, hasilnya dalam paket (s) yang diinstal yang hanya tidak berfungsi.
RobC

Jawaban:


0

Saya setuju dengan @RobC di sini. Itu juga menonaktifkan menjalankan skrip khusus di saya package.jsonsepenuhnya untuk saya, yang jelas merupakan pemecah kesepakatan karena Anda tidak dapat mendefinisikan dan menjalankan skrip khusus Anda lagi.

Meskipun mungkin berguna untuk memikirkan masalah keamanan ini, saya tidak berpikir menjalankan npm config set ignore-scripts trueadalah pilihan yang tepat. Saya menjalankannya juga dan akhirnya mematikannya untuk terus menjalankan skrip paket khusus saya.

Jadi saran dari video akhirnya tidak terlalu baik, saya kira ...

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.