npm
差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン前のリビジョン次のリビジョン | 前のリビジョン | ||
| npm [2018/10/29 01:57] – nullpon | npm [2026/05/12 15:58] (現在) – [.npmrc] nullpon | ||
|---|---|---|---|
| 行 34: | 行 34: | ||
| package.jsonに記録されている依存モジュールのインストール | package.jsonに記録されている依存モジュールのインストール | ||
| - | $ npm install | + | $ npm install |
| - | $ npm install --production | + | $ npm i |
| | | ||
| - | --productionオプションを付けると --save-dev を付けたものが除外される | + | package-lock.jsonに完全に一致させる(clean install) |
| + | |||
| + | $ npm ci | ||
| + | |||
| + | |||
| + | |||
| + | ==== packageの脆弱性チェック ==== | ||
| + | |||
| + | $ npm audit | ||
| + | |||
| + | ===== .npmrc ===== | ||
| + | |||
| + | npmの設定ファイル。ユーザのホームディレクトリ、またはプロジェクトのpackage, | ||
| + | |||
| + | < | ||
| + | ignore-scripts=true | ||
| + | min-release-age=3 | ||
| + | save-exact=true | ||
| + | engine-strict=true | ||
| + | </ | ||
| + | |||
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | * '' | ||
| + | |||
| + | ignore-scriptsやmin-release-ageはサプライチェーン攻撃への対策としてある程度有効。汚染バージョンが公開されても指定した日数はインストールされない。またインストールされても、installスクリプトでマルウェアをダウンロードするような攻撃から守ることができる。 | ||
npm.1540778231.txt.gz · 最終更新: by nullpon