ignore-scripts가 true로 설정된 상태에서 npm은 어떻게 다르게 작동합니까?


11

방금 화자가 달리기를 권장 하는 이야기를 보았습니다 .

npm config set ignore-scripts true

패키지의 사후 설치 스크립트 및 사전 설치 스크립트가 실행되지 않도록합니다. 그렇게하면 악성 패키지의 바이러스를 피할 수 있습니다.

내 질문은 :이 명령을 실행 한 후 npm install 패키지와 다르게 수행하여 프로젝트 내에서 작동하게해야합니까?

npm을 사용할 때이 명령을 실행해도 추가적인 불편이 없으면 실행에 단점이 없습니다. 바이러스를 피하는 데 도움이됩니다.

이 경우, 이것이 기본 설정이 아닌 이유는 무엇입니까?

패키지 스크립트를 무시하면 npm 패키지가 다르게 동작하고 수동으로 더 많은 작업을 수행해야한다고 가정하기 때문에 묻습니다.


5
일부 패키지는 실행 pre/ post -install설치 / 구성을 위해 스크립트를. 설정하는 동안 ignore-scriptstrue 자주 할 수있는 악성 코드를 완화하고하는 것은하지, 패키지 (들)의 결과는 단순히 기능을하지 않는 것을 설치된다.
RobC

답변:


0

@RobC에 동의합니다. 또한 사용자 정의 스크립트 실행을 package.json완전히 비활성화했습니다 . 더 이상 사용자 정의 스크립트를 정의하고 실행할 수 없으므로 거래 차단기입니다.

이러한 보안 문제에 대해 생각하는 것이 유용 할 수도 있지만 실행 npm config set ignore-scripts true이 올바른 옵션 이라고 생각하지 않습니다 . 나는 그것을 또한 실행하고 결국 사용자 정의 패키지 스크립트를 계속 실행하기 위해 그것을 끈다.

그래서 비디오의 조언이 너무 건전하지는 않았습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.