Как npm ведет себя по-разному, если для ignore-scripts задано значение true?

11

Я только что посмотрел разговор, в котором оратор рекомендовал работать:

npm config set ignore-scripts true

так что сценарии после установки и сценарии до установки пакета не запускаются. Таким образом вы избежите появления вируса в вредоносной упаковке.

Мой вопрос: после выполнения этой команды я должен сделать что-то иначе для установки пакетов npm и заставить их работать в проекте?

Если выполнение этой команды не доставляет дополнительных неудобств при использовании npm, то ее выполнение не будет иметь недостатков. Это только поможет вам избежать вирусов.

Если бы это было так, почему бы не быть настройкой по умолчанию?

Я спрашиваю, потому что я предполагаю, что, игнорируя сценарии пакетов, пакеты npm будут вести себя по-другому, и придется делать больше вещей вручную.

Дэн
источник
5
Некоторые пакеты запускают pre/ post -installскрипты для настройки / настройки. Несмотря ignore-scriptsна то, что настройка true может уменьшить вредоносный код, он может и часто приводит к установке пакетов, которые просто не работают.
RobC

Ответы:

0

Я согласен с @RobC здесь. Кроме того, он полностью отключил запуск пользовательских сценариев package.jsonдля меня, что явно мешает работе, поскольку вы больше не можете определять и запускать пользовательские сценарии.

Хотя, вероятно, полезно подумать об этих проблемах безопасности, я не думаю, что запуск npm config set ignore-scripts true- это правильный выбор. Я также запустил его и закончил тем, что снова выключил его, чтобы продолжить выполнение своих пользовательских скриптов пакетов.

Так что совет из видео оказался не слишком здравым, я думаю ...

Леон Тепе
источник