一個名為“-”的包被無意中添加到了我的 package.json 檔案中。我相信是這個包:https : //www.npmjs.com/package/-
我正在使用ncu(https://www.npmjs.com/package/npm-check-updates)升級一些包,然后我注意到在“依賴項”中添加了一行
"dependencies": {
"-": "^0.0.1"
...
}
我不知道它是什么。從它的 npm 頁面,它說
使用https://github.com/parzh/create-package-typescript創建
這個“創建包打字稿”是什么?
如果問題太幼稚,請提前道歉。我是 web/javascript 開發的新手。
uj5u.com熱心網友回復:
如果您想完全確定它是什么,請不要打擾 npm 包頁面上的鏈接。它們是從專案的 README 和 package.json 中的元資料生成的,可以是任何東西。相反,檢查模塊的源代碼(因為你已經安裝了它——如果你沒有安裝,我建議你獲取 tar 檔案并使用它而不是安裝它)。
這是該模塊的完整源代碼(版本 0.0.1,這是撰寫本文時的最新版本):
"use strict";
Object.defineProperty(exports, "__esModule", { value: true });
exports.default = null;
如果您想知道該模塊的作用,這就是您的答案。
如果你想確保模塊在安裝時沒有做惡意的事情,那么要做的就是檢查package.json生命周期腳本和其他可能的事情。這是package.json:
{
"name": "-",
"version": "0.0.1",
"license": "UNLICENSED",
"keywords": [],
"main": "dist/index.js",
"types": "dist/index.d.ts",
"scripts": {
"test": "echo \"Error: no test specified\" && exit 1",
"start": "node --require ts-node/register src",
"build": "tsc"
},
"devDependencies": {
"@types/node": "13.9.0",
"ts-node": "8.6.2",
"typescript": "3.8.3"
}
}
里面沒什么大事。所以我認為我們可以在這里排除惡意軟體。
至于您是否需要在代碼中使用此功能,我有點懷疑,但只有您可以說。
似乎有人將此作為實驗或錯誤發布。它似乎也有可能安裝錯誤。如果你想卸載它然后測驗你的代碼,你可以做npm uninstall -. 如果這破壞了事情并且您需要重新添加它,npm install --ignore-scripts -.
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/350394.html