我刚刚看了talk,扬声器建议在其中运行:
npm config set ignore-scripts true
这样就不会运行软件包的安装后脚本和安装前脚本。这样,您就可以避免在恶意软件包中感染病毒。
我的问题是:运行此命令后,我是否必须做其他与npm install软件包不同的事情并使它们在项目中工作?
如果在使用npm时运行此命令不会带来任何其他麻烦,那么运行它就不会有任何弊端。这只会帮助您避免病毒。
如果是这种情况,为什么不将其设为默认设置?
我问,因为我假设通过忽略软件包脚本,npm软件包的行为会有所不同,因此必须手动执行更多操作。
我在这里同意@RobC。它还对我完全禁用了package.json
中运行自定义脚本的功能,这显然很麻烦,因为您无法再定义和运行自定义脚本。
尽管考虑这些安全性问题可能很有用,但我认为运行npm config set ignore-scripts true
不是正确的选择。我也运行了它,最后将其关闭以继续运行我的自定义程序包脚本。
所以从视频中得到的建议最终听起来并不是太响,...