掌控全域安装，让你的 Node 项目更安全、更稳定

掌控 Node.js 全局安装：确保安全性和稳定性

在 Node.js 的广袤生态系统中，无数的库和工具为开发者提供了无限的可能性。然而，滥用全局安装可能会埋下安全和稳定性隐患，让你的项目容易受到意想不到或恶意依赖的影响。掌握全局安装是解决这些挑战的关键，而 npm-only-allow 和 preinstall 脚本将成为你的得力助手。

npm-only-allow：打造你的安全白名单

npm-only-allow 就像一位忠实的守卫，它能将全局安装限制在你批准的白名单之中。这堵无形的墙能有效抵御意外或未经授权的安装，为你的项目筑起第一道安全防线。

安装 npm-only-allow 非常简单：

npm install -g npm-only-allow

接下来，创建一个名为 .npmrc 的文件，并添加以下配置：

only-allow-global=true

preinstall 脚本：在安装前把关

preinstall 脚本是 npm 安装前的一个特殊环节，你可以利用它进一步加强对全局安装的控制。在项目的根目录创建名为 package.json 的文件，并添加以下脚本：

{
  "scripts": {
    "preinstall": "npm-only-allow check"
  }
}

这个脚本会命令 npm-only-allow 在安装任何全局依赖之前检查白名单。如果检测到未经授权的安装，它将阻止安装并给出错误提示，让你及时发现潜在的威胁。

实例演示：一个安全无忧的项目

为了让这个概念更加生动，我们假设有一个名为 "my-app" 的项目。为了保证安全，我们希望只允许以下全局依赖安装：

@umijs/cli
create-react-app
eslint

为此，我们在 .npmrc 文件中更新白名单：

only-allow-global=@umijs/cli,create-react-app,eslint

随后，我们运行以下命令安装项目依赖：

npm install

preinstall 脚本将触发 npm-only-allow 检查，确保只有白名单中的依赖被全局安装。我们的项目现在就拥有了一个安全无忧的环境。

拥抱主动，收获安全与稳定

实施这些措施的好处显而易见：

• 提升安全性： 防止意外或恶意安装，降低安全风险。
• 增强稳定性： 阻止不兼容或过时的依赖，确保项目的稳定运行。
• 提高效率： 减少不必要的安装，节省时间和精力。
• 简化维护： 通过限制全局安装，让项目维护变得更加轻松和直接。

通过拥抱这种主动的方法，你可以为你的 Node.js 项目建立一个健康而稳定的生态系统。掌握全局安装，让你的项目坚如磐石。

常见问题解答

1. npm-only-allow 只能限制全局安装吗？

是的，npm-only-allow 主要用于控制全局安装，但你也可以通过修改其配置来限制特定范围的安装，例如本地安装或项目依赖安装。

2. preinstall 脚本只能用于 npm-only-allow 检查吗？

不，preinstall 脚本可以用于任何你想在 npm 安装前执行的任务，例如运行测试、清理缓存或更新依赖。

3. 除了 npm-only-allow 和 preinstall 脚本之外，还有其他控制全局安装的方法吗？

还有其他方法可以控制全局安装，例如使用 yarn workspaces 或 npx 来管理不同的依赖集。

4. 我可以在项目中安装未经批准的全局依赖吗？

如果你需要在项目中安装未经批准的全局依赖，可以暂时禁用 npm-only-allow 或修改其白名单配置。但请务必在安装完成后重新启用 npm-only-allow 以确保持续的安全性。

5. 如何处理 npm-only-allow 阻止了需要的全局依赖？

如果你遇到这种情况，请仔细检查白名单配置并确保已包含必要的依赖项。如果问题仍然存在，可以尝试禁用 npm-only-allow 或联系 npm-only-allow 的开发人员寻求帮助。