.npmrc 应该被忽略吗?

问题描述 投票:0回答:3

Fontawesome Pro 说明描述了将密钥放入

.npmrc
文件中,但尚不清楚应如何管理该文件。具体来说,这个文件应该被 Git 忽略吗?

react-native font-awesome .npmrc
3个回答
6
投票

Fontawesome Pro 说明作为管理

.nmprc
文件中敏感信息的一般方法的示例是正确的:

  • 所有敏感值都应该替换为环境变量,并且
  • 这些变量应该在存储库将推送到的任何环境中定义为托管机密。
3
投票

我的回答是最好忽略它,不要推送到仓库。就好像您有多个工程师对生成的包进行更改以推送到注册表一样,每个开发人员都必须拥有自己的 .npmrc 文件,并且您不太可能希望将其推送到存储库,因为每次尝试都会覆盖/冲突.

我可以想象这样一种场景,您希望通过为所有开发人员使用单一凭证以及一个全局 .npmrc 文件来实现自动化,但在我看来,这是明显的安全失礼。

0
投票

一些替代方案

你可以

  • .npmrc
    文件复制到 
    .npmrc_local
  • 忽略文件
    .npmrc_local
    (由.gitignore)
  • .npmrc
    文件中删除敏感数据。

npm_instal
之前,只需将 .npmrc_local 临时编译到 
.npmrc
中。这种方法可以用在可以轻松管理安全文件的地方(例如azure)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.