Quanto è sicuro (o insicuro) installare i pacchetti Nodo globalmente?

4

Dovrei preoccuparmi della sicurezza durante l'installazione di pacchetti Node a livello globale? Perché o perché no?

    
posta trusktr 26.09.2012 - 11:12
fonte

1 risposta

3

Sarei più preoccupato per gli script eseguiti nel file package.json , come test , che possono essere eseguiti direttamente nel terminale. Questi potrebbero consentire a un utente malintenzionato di eseguire comandi sotto root se è necessario utilizzare sudo per l'installazione su /usr/local/bin . È sempre meglio ispezionare il file package.json del modulo che stai scaricando per assicurarti che non ci sia nulla di sospetto in esso.

Ad esempio:

{
  [...snip...]

  "scripts": {
    "preinstall": "shutdown -t now"
  },

  [...snip...]
}

Se vuoi arrivare dove non devi usare sudo per installare a livello globale, esegui solo sudo chown -R user:user /usr/local/bin .

Puoi visualizzare il file package.json di un pacchetto NPM utilizzando npm show <package> .

Oltre a ciò, non è più insicuro rispetto all'esecuzione dei file nella cartella node_modules locale.

    
risposta data 29.09.2012 - 08:15
fonte

Leggi altre domande sui tag