npm

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

--- npm [2026/04/01 16:23] – nullpon
+++ npm [2026/05/12 15:58] (現在) – [.npmrc] nullpon
@@ 行 54: / 行 54: @@
 ignore-scripts=true
 min-release-age=3
+save-exact=true
+engine-strict=true
 </code>
   * ''ignore-scripts'': `npm install`実行時に依存パッケージのpreinstall/install/postinstallの実行を抑止
   * ''min-release-age'': 公開から指定日数経過してないバージョンを''npm install''でインストールしない
+  * ''save-exact'': package.jsonに書き込む時にバージョンを固定する
+  * ''engine-strict'': nodeやnpmのバージョンがpackage.jsonに記されたengineの指定外であった場合エラーにする
-これらはサプライチェーン攻撃への対策としても有効。汚染バージョンが公開されても指定した日数はインストールされない。またインストールされても、installスクリプトでマルウェアをダウンロードするような攻撃から守ることができる。
+ignore-scriptsやmin-release-ageはサプライチェーン攻撃への対策としてある程度有効。汚染バージョンが公開されても指定した日数はインストールされない。またインストールされても、installスクリプトでマルウェアをダウンロードするような攻撃から守ることができる。

npm.1775060628.txt.gz · 最終更新: 2026/04/01 16:23 by nullpon