Acabei de assistir a uma conversa em que o palestrante recomendou a execução:
npm config set ignore-scripts true
para que os scripts pós-instalação e pré-instalação de um pacote não sejam executados. Dessa forma, você evitaria um vírus em um pacote malicioso.
Minha pergunta é: Depois de executar este comando, devo fazer algo diferente para o npm instalar pacotes e fazê-los funcionar em um projeto?
Se a execução desse comando não for inconveniente adicional ao usar o npm, não haverá desvantagem. Isso apenas ajudaria a evitar vírus.
Se esse fosse o caso, por que essa não seria a configuração padrão?
Eu pergunto porque presumo que, ignorando os scripts de pacotes, os pacotes npm se comportariam de maneira diferente e seria necessário fazer mais coisas manualmente.
fonte
pre/post-installscripts para fins de instalação / configuração. Embora a configuraçãoignore-scriptsdetruepossa atenuar o código malicioso, ela pode resultar, e geralmente resulta, na instalação de pacotes que simplesmente não funcionam.Respostas:
Eu concordo com o @RobC aqui. Ele também desativou a execução de scripts customizados
package.jsoncompletamente para mim, o que obviamente é um diferencial, pois você não pode mais definir e executar seus scripts personalizados.Embora seja provavelmente útil pensar sobre essas preocupações de segurança, não acho que correr
npm config set ignore-scripts trueseja a opção certa. Também executei e acabei desativando-o para continuar executando meus scripts de pacotes personalizados.Então o conselho do vídeo acabou não sendo muito bom, eu acho ...
fonte