本文建议.npmrc
在您的项目中添加配置以将作用域与私有注册表相关联,以降低 npm 替换攻击的风险(其中有人可能故意发布具有相同名称的恶意公共包)。
我们如何在 Yarn 2 项目中实现类似的效果?我尝试.yarnrc.yml
在我的项目根目录中添加一个文件:
npmScopes:
someScope:
npmRegistryServer: https://npm.pkg.github.com
我们还~/.yarnrc.yml
为每个具有类似配置的开发人员提供了一个主目录,但另外还有一个适当npmAuthToken
的身份验证。
但是,当我执行 a 时,该范围内的包yarn install
会出现Invalid authentication (as an anonymous user)
错误。大概项目特定.yarnrc.yml
覆盖了 per-user 的设置~/.yarnrc.yml
,所以身份验证信息不再存在?
我所寻求的缓解措施是,如果开发人员忘记运行yarn npm login
,那么它不会检查公共注册表中特定范围内的包。有没有办法在 Yarn 2 中做到这一点?