1 个内容
npm供应链攻击风险日益增加,`postinstall`脚本易被利用执行恶意代码。pnpm提供`onlyBuiltDependencies`和`onlyBuiltDependenciesFile`配置,限制允许执行安装脚本的依赖,提升项目安全性。需审查依赖,配置pnpm设置,定期更新依赖并监控安装日志,加强团队安全意识。