是否可以使用 `npm install` 运行任何计算机命令?

【问题标题】:Is it possible to run any computer command with `npm install`?是否可以使用 `npm install` 运行任何计算机命令?
【发布时间】:2018-06-11 23:02:33
【问题描述】:

在注意到安装 bcrypt 会运行多个命令(如 CMake)后。我想知道是否可以运行:

  • 文件管理命令(复制、创建、删除)
  • 其他 NPM 命令(安装、更新、发布等)
  • 潜在的恶意代码(rm -rf、系统关闭等)

通过运行npm install [module]

【问题讨论】:

  • 我的回答解决了你的“问题”吗?如果是,请将其标记为已解决。更适合社区
  • @MathKimRobin 我试图删除这个问题,因为它被否定了,但你的回答很好,谢谢。
  • 我不确定您是否应该对您的问题产生负面情绪。这就是为什么我回答而不是旗帜

标签: node.js npm npm-install npm-scripts


【解决方案1】:

正如这里所描述的,任何包都可以在 npm install 任务之前/之后自动触发一些脚本。

https://docs.npmjs.com/misc/scripts

所以在这个脚本中,你可以有一些命令,比如“rm -rf /*”。即使它在 linux 上需要 sudo 权限。

这就是为什么存在一些像 Snyk 这样的服务的原因。它会检查并防止您发现已知漏洞。如果它检测到问题,您可以要求它自动为您的存储库创建 PR。

【讨论】:

    猜你喜欢
    • 2017-09-14
    • 1970-01-01
    • 2017-01-08
    • 2019-03-03
    • 2015-12-11
    • 2018-08-20
    • 2018-12-21
    • 2015-07-31
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode