Como o npm se comporta de maneira diferente com ignore-scripts definido como true?

11

Acabei de assistir a uma conversa em que o palestrante recomendou a execução:

npm config set ignore-scripts true

para que os scripts pós-instalação e pré-instalação de um pacote não sejam executados. Dessa forma, você evitaria um vírus em um pacote malicioso.

Minha pergunta é: Depois de executar este comando, devo fazer algo diferente para o npm instalar pacotes e fazê-los funcionar em um projeto?

Se a execução desse comando não for inconveniente adicional ao usar o npm, não haverá desvantagem. Isso apenas ajudaria a evitar vírus.

Se esse fosse o caso, por que essa não seria a configuração padrão?

Eu pergunto porque presumo que, ignorando os scripts de pacotes, os pacotes npm se comportariam de maneira diferente e seria necessário fazer mais coisas manualmente.

Dan
fonte
5
Alguns pacotes são executados pre/ post -installscripts para fins de instalação / configuração. Embora a configuração ignore-scriptsde true possa atenuar o código malicioso, ela pode resultar, e geralmente resulta, na instalação de pacotes que simplesmente não funcionam.
RobC

Respostas:

0

Eu concordo com o @RobC aqui. Ele também desativou a execução de scripts customizados package.jsoncompletamente para mim, o que obviamente é um diferencial, pois você não pode mais definir e executar seus scripts personalizados.

Embora seja provavelmente útil pensar sobre essas preocupações de segurança, não acho que correr npm config set ignore-scripts trueseja a opção certa. Também executei e acabei desativando-o para continuar executando meus scripts de pacotes personalizados.

Então o conselho do vídeo acabou não sendo muito bom, eu acho ...

Leon Tepe
fonte