In che modo npm si comporta diversamente con ignore-script impostato su true?


11

Ho appena visto un discorso in cui l'oratore ha consigliato di eseguire:

npm config set ignore-scripts true

in modo che gli script post-installazione e pre-installazione di un pacchetto non vengano eseguiti. In questo modo, eviteresti un virus in un pacchetto dannoso.

La mia domanda è: dopo aver eseguito questo comando, devo fare diversamente i pacchetti di installazione di npm e farli funzionare all'interno di un progetto?

Se l'esecuzione di questo comando non comporta ulteriori inconvenienti quando si utilizza npm, l'esecuzione non avrebbe alcun inconveniente. Ti aiuterebbe solo a evitare i virus.

In questo caso, perché non dovrebbe essere l'impostazione predefinita?

Lo chiedo perché presumo che ignorando gli script dei pacchetti, i pacchetti npm si comporterebbero diversamente e si dovrebbero fare più cose manualmente.


5
Alcuni pacchetti eseguono pre/ post -installscript per scopi di installazione / configurazione. Mentre l'impostazione ignore-scriptssu true può mitigare il codice dannoso, può, e spesso lo fa, causare l'installazione di pacchetti che semplicemente non funzionano.
RobC

Risposte:


0

Sono d'accordo con @RobC qui. Ha anche disattivato l'esecuzione di script personalizzati nel mio package.jsoncompletamente per me, il che ovviamente è un problema, poiché non è più possibile definire ed eseguire gli script personalizzati.

Sebbene sia probabilmente utile pensare a questi problemi di sicurezza, non penso che correre npm config set ignore-scripts truesia l'opzione giusta. L'ho eseguito anche e ho finito per spegnerlo per continuare a eseguire i miei script di pacchetto personalizzati.

Quindi il consiglio del video non è stato troppo sonoro, immagino ...

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.