.npmrc 应该被忽略吗?
Should .npmrc be ignored?
Fontawesome Pro 说明 describe placing a secret key in a .npmrc file 但不清楚应如何管理此文件。具体来说,这个文件应该被 Git 忽略吗?
我的回答是最好忽略它而不是推送回购协议。就好像您有多个工程师对生成的包进行更改以推送到注册表,每个开发人员都必须拥有自己的 .npmrc 文件,并且您不太可能希望将其推送到回购协议,因为每次尝试都会 overwrite/conflict.
我可以想象这样一种场景,您希望通过为所有开发人员使用单一凭证并因此使用一个全局 .npmrc 文件来实现自动化,但在我看来这是一个明显的安全失误。
Fontawesome Pro instructions 作为管理 .nmprc 文件中敏感信息的一般方法的示例是正确的:
- 那里的所有敏感值都应替换为环境变量,并且
- 然后应将这些变量定义为存储库将被推送到的任何环境中的托管机密。
Fontawesome Pro 说明 describe placing a secret key in a .npmrc file 但不清楚应如何管理此文件。具体来说,这个文件应该被 Git 忽略吗?
我的回答是最好忽略它而不是推送回购协议。就好像您有多个工程师对生成的包进行更改以推送到注册表,每个开发人员都必须拥有自己的 .npmrc 文件,并且您不太可能希望将其推送到回购协议,因为每次尝试都会 overwrite/conflict.
我可以想象这样一种场景,您希望通过为所有开发人员使用单一凭证并因此使用一个全局 .npmrc 文件来实现自动化,但在我看来这是一个明显的安全失误。
Fontawesome Pro instructions 作为管理 .nmprc 文件中敏感信息的一般方法的示例是正确的:
- 那里的所有敏感值都应替换为环境变量,并且
- 然后应将这些变量定义为存储库将被推送到的任何环境中的托管机密。