¿Cómo se comporta npm de manera diferente con los scripts de ignorar establecidos en verdadero?

11

Acabo de ver una charla donde el orador recomendó correr:

npm config set ignore-scripts true

para que los scripts posteriores a la instalación y los scripts previos a la instalación de un paquete no se ejecuten. De esa manera, evitarías un virus en un paquete malicioso.

Mi pregunta es: después de ejecutar este comando, ¿debo hacer algo diferente para instalar paquetes npm y hacer que funcionen dentro de un proyecto?

Si ejecutar este comando no presenta inconvenientes adicionales al usar npm, entonces ejecutarlo no tendría inconvenientes. Solo te ayudaría a evitar virus.

Si este fuera el caso, ¿por qué no sería esta la configuración predeterminada?

Pregunto porque supongo que al ignorar los scripts de paquetes, los paquetes npm se comportarían de manera diferente y uno tendría que hacer más cosas manualmente.

node.js  npm  npm-scripts 
Dan
fuente
55
Algunos paquetes se ejecutan pre/ post -installscripts para fines de configuración / configuración. Mientras que la configuración ignore-scriptsde true puede mitigar código malicioso que puede, ya menudo lo hace, en consecuencia paquete (s) a instalar que simplemente no funcionan.
RobC

Respuestas:

0

Estoy de acuerdo con @RobC aquí. También desactivó la ejecución de scripts personalizados en mi package.jsoncompletamente para mí, lo que obviamente es un factor decisivo ya que ya no puede definir y ejecutar sus scripts personalizados.

Aunque probablemente sea útil pensar en estas preocupaciones de seguridad, no creo que correr npm config set ignore-scripts truesea ​​la opción correcta. Lo ejecuté también y terminé apagándolo para seguir ejecutando mis scripts de paquetes personalizados.

Entonces, el consejo del video terminó no siendo demasiado sólido, supongo ...

Leon Tepe
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.