是否可以使用 `npm install` 运行 任何计算机命令?
Is it possible to run any computer command with `npm install`?
注意到安装 bcrypt 运行s 几个命令后,如 CMake。我想知道是否可以 运行:
- 文件管理命令(复制、创建、删除)
- 其他 NPM 命令(安装、更新、发布等)
- 潜在的恶意代码(
rm -rf、系统关闭等)
来自 运行宁 npm install [module].
如此处所述,任何包都可以带一些脚本自动触发 before/after npm 安装任务。
https://docs.npmjs.com/misc/scripts
所以在这个脚本中,你可以有一些像"rm -rf /*"这样的命令。例如,即使它需要 linux 上的 sudo 权限。
这就是 Snyk 等服务存在的原因。它会检查并防止您遇到已知漏洞。如果它检测到问题,您可以要求它自动为您的回购创建一个 PR。
注意到安装 bcrypt 运行s 几个命令后,如 CMake。我想知道是否可以 运行:
- 文件管理命令(复制、创建、删除)
- 其他 NPM 命令(安装、更新、发布等)
- 潜在的恶意代码(
rm -rf、系统关闭等)
来自 运行宁 npm install [module].
如此处所述,任何包都可以带一些脚本自动触发 before/after npm 安装任务。
https://docs.npmjs.com/misc/scripts
所以在这个脚本中,你可以有一些像"rm -rf /*"这样的命令。例如,即使它需要 linux 上的 sudo 权限。
这就是 Snyk 等服务存在的原因。它会检查并防止您遇到已知漏洞。如果它检测到问题,您可以要求它自动为您的回购创建一个 PR。