[!quote]+ 
GitHub 将更改 npm 的默认设置，使安装命令不再自动运行脚本，从而禁用恶意软件包（如臭名昭著的 Shai-Hulud 蠕虫）通常利用的功能。 
维护者 Leo Balter 说："安装时生命周期脚本是 npm 生态系统中最大的代码执行面。每个 npm 安装程序都会运行来自每个传递依赖关系的脚本，因此您的软件树中任何地方的一个受损软件包都可以在开发人员机器或 CI（持续集成）运行程序上执行任意代码。 
将于 7 月发布的 npm 12 中，有三个以安全为重点的默认设置正在发生变化。除非通过 allow-scripts 明确允许，否则为预安装、安装或安装后配置的脚本将不再运行。从远程 URL 拉取依赖关系的–allow-git 标志将默认为关闭，从而关闭了恶意 .npmrc 文件可以覆盖 Git 可执行文件并执行任意代码的攻击路径。最后，allow-remo...