Acabo de ver una charla donde el orador recomendó correr:
npm config set ignore-scripts true
para que los scripts posteriores a la instalación y los scripts previos a la instalación de un paquete no se ejecuten. De esa manera, evitarías un virus en un paquete malicioso.
Mi pregunta es: después de ejecutar este comando, ¿debo hacer algo diferente para instalar paquetes npm y hacer que funcionen dentro de un proyecto?
Si ejecutar este comando no presenta inconvenientes adicionales al usar npm, entonces ejecutarlo no tendría inconvenientes. Solo te ayudaría a evitar virus.
Si este fuera el caso, ¿por qué no sería esta la configuración predeterminada?
Pregunto porque supongo que al ignorar los scripts de paquetes, los paquetes npm se comportarían de manera diferente y uno tendría que hacer más cosas manualmente.
fuente
pre
/post
-install
scripts para fines de configuración / configuración. Mientras que la configuraciónignore-scripts
detrue
puede mitigar código malicioso que puede, ya menudo lo hace, en consecuencia paquete (s) a instalar que simplemente no funcionan.Respuestas:
Estoy de acuerdo con @RobC aquí. También desactivó la ejecución de scripts personalizados en mi
package.json
completamente para mí, lo que obviamente es un factor decisivo ya que ya no puede definir y ejecutar sus scripts personalizados.Aunque probablemente sea útil pensar en estas preocupaciones de seguridad, no creo que correr
npm config set ignore-scripts true
sea la opción correcta. Lo ejecuté también y terminé apagándolo para seguir ejecutando mis scripts de paquetes personalizados.Entonces, el consejo del video terminó no siendo demasiado sólido, supongo ...
fuente