Я только что посмотрел разговор, в котором оратор рекомендовал работать:
npm config set ignore-scripts true
так что сценарии после установки и сценарии до установки пакета не запускаются. Таким образом вы избежите появления вируса в вредоносной упаковке.
Мой вопрос: после выполнения этой команды я должен сделать что-то иначе для установки пакетов npm и заставить их работать в проекте?
Если выполнение этой команды не доставляет дополнительных неудобств при использовании npm, то ее выполнение не будет иметь недостатков. Это только поможет вам избежать вирусов.
Если бы это было так, почему бы не быть настройкой по умолчанию?
Я спрашиваю, потому что я предполагаю, что, игнорируя сценарии пакетов, пакеты npm будут вести себя по-другому, и придется делать больше вещей вручную.
pre
/post
-install
скрипты для настройки / настройки. Несмотряignore-scripts
на то, что настройкаtrue
может уменьшить вредоносный код, он может и часто приводит к установке пакетов, которые просто не работают.Ответы:
Я согласен с @RobC здесь. Кроме того, он полностью отключил запуск пользовательских сценариев
package.json
для меня, что явно мешает работе, поскольку вы больше не можете определять и запускать пользовательские сценарии.Хотя, вероятно, полезно подумать об этих проблемах безопасности, я не думаю, что запуск
npm config set ignore-scripts true
- это правильный выбор. Я также запустил его и закончил тем, что снова выключил его, чтобы продолжить выполнение своих пользовательских скриптов пакетов.Так что совет из видео оказался не слишком здравым, я думаю ...
источник