Dovrei preoccuparmi della sicurezza durante l'installazione di pacchetti Node a livello globale? Perché o perché no?
Sarei più preoccupato per gli script eseguiti nel file package.json , come test , che possono essere eseguiti direttamente nel terminale. Questi potrebbero consentire a un utente malintenzionato di eseguire comandi sotto root se è necessario utilizzare sudo per l'installazione su /usr/local/bin . È sempre meglio ispezionare il file package.json del modulo che stai scaricando per assicurarti che non ci sia nulla di sospetto in esso.
Ad esempio:
{
[...snip...]
"scripts": {
"preinstall": "shutdown -t now"
},
[...snip...]
}
Se vuoi arrivare dove non devi usare sudo per installare a livello globale, esegui solo sudo chown -R user:user /usr/local/bin .
Puoi visualizzare il file package.json di un pacchetto NPM utilizzando npm show <package> .
Oltre a ciò, non è più insicuro rispetto all'esecuzione dei file nella cartella node_modules locale.
Leggi altre domande sui tag javascript security node.js