ignore-scriptsをtrueに設定すると、npmはどのように動作しますか?


11

私はただ見てスピーカーが実行されているお勧めします:

npm config set ignore-scripts true

パッケージのインストール後スクリプトとインストール前スクリプトが実行されないようにします。そうすれば、悪意のあるパッケージでウイルスを回避できます。

私の質問は、次のとおりです。このコマンドを実行した後、npmインストールパッケージを変更して、プロジェクト内で機能させる必要がありますか?

npmを使用するときにこのコマンドを実行しても追加の不都合がなければ、実行しても問題はありません。ウイルスを回避するのに役立つだけです。

この場合、なぜこれがデフォルト設定にならないのでしょうか?

パッケージスクリプトを無視すると、npmパッケージの動作が異なり、さらに多くのことを手動で行う必要があると思うので、質問します。


5
一部のパッケージは、セットアップ/構成の目的でpre/ post -installスクリプトを実行します。に設定ignore-scriptsすると、悪意のあるコードを軽減true できる可能性がありますが、多くの場合、パッケージがインストールされ、機能しなくなります。
RobC

回答:


0

ここで@RobCに同意します。また、カスタムスクリプトの実行をpackage.json完全に無効化しました。これは、カスタムスクリプトを定義して実行することができなくなったため、明らかに取引ブレーカーです。

これらのセキュリティの問題について考えることはおそらく役に立ちnpm config set ignore-scripts trueますが、実行することは適切なオプションではないと思います。私もそれを実行し、私のカスタムパッケージスクリプトを実行し続けるためにそれをオフにしてしまいました。

だからビデオからのアドバイスはあまりにもしっかりしていなかったと思います...

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.