rob*_*spi 6 security audit npm
我正在寻求更改 的默认行为npm audit。
默认行为是审核所有包,包括仅限开发人员的包。这不是很有用,因为我信任我的开发环境并且更关心生产级别的安全性。这并不是说我完全忽略了开发漏洞,因为我仍然在研究它们,而是想把重点放在更重要的事情上——生产。
npm audit从版本 6 开始就有了--production审核命令的标志。运行时如何使该标志默认为 true npm audit?我想--production在--omit=dev我的package.json. 这可能吗?
(此外,任何有关此行动的后果的讨论或澄清您认为我可能有的任何误解也将受到欢迎,因为我不能反对了解更多信息。)
您可以通过在 package.json 中设置环境变量来完成此操作。这适用于npm audit和install。
您要设置的环境变量NODE_ENV:
omitdev如果将NODE_ENV环境变量设置为,则默认为'production'
例如:
...
"scripts": {
"test": "NODE_ENV=test"
},
...