在前端开发中,我们常常需要使用第三方库或者包来辅助我们开发工作。而 npm 包是前端开发中最常用的第三方包管理工具。其中,deny 包可以帮助我们防止恶意包被下载到项目中,从而增强项目安全性。接下来,我们将讲解 npm 包 deny 的使用教程。
安装
使用 npm 包管理器来安装即可,命令如下:
npm install deny --save-dev
配置
安装完成之后,在项目的根目录中创建 denylist.txt 文件。在该文件中,每行输入一个要禁止的 npm 包的名称。例如:
badpackagename maliciouspackage
在项目的 package.json 文件中,加入以下配置:
{
"scripts": {
"preinstall": "npm run check",
"check": "deny"
}
}使用
当禁止列表中存在恶意包时,npm 将会在 preinstall 阶段终止项目的安装。开发者需要手动排查禁止列表中的包,从而减少项目依赖安全风险。
应该注意的是,deny 仅仅是检测了 package.json 文件中的依赖,但并不检测 package-lock.json 的依赖,在执行 npm ci 时仍有可能被依赖恶意包危害,因此请勿完全依赖 deny 来保证项目安全性。
示例代码
以下是在 denylist.txt 文件中配置了两个禁用的包名,使用 kenote/deny 包测试的示例代码:
-- -------------------- ---- -------
-
------- -----------
---------- --------
--------------- -
----------------- ---------
------------------- ---------
---------- ---------
--
------------------ -
------- --------
--
---------- -
------------- ---- --- -------
-------- ------
-
-在运行 npm install 命令后,由于 badpackagename 和 maliciouspackage 两个包名已经被禁用,npm 将会在 preinstall 阶段终止项目的安装。
以上就是 npm 包 deny 的使用详细教程。希望本文对大家有所帮助!
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6005687181e8991b448e46cb