Defining a security policy

作为企业管理员,您可以防止下载不安全的软件包. 例如,这对于将易受攻击的依赖项排除在应用程序之外很有用. 目前,您可以选择三种不同的安全策略:

注意:仅当软件包未本地缓存时才被阻止. 每当您更改策略时,建议您清除全局缓存( npm cache clear --force )并进行项目的npm clean-installnpm clean-install ).

默认情况下允许所有软件包. 更改安全策略:

  1. 使用您的临时用户名和密码登录到您的Enterprise实例.
  2. 在页面的右上角,点击您的个人资料图片,然后点击网站管理 . 可以选择站点管理的下拉菜单
  3. 点击"设置". 管理面板设置按钮
  4. 在"设置"页面上的"安全策略"下,选择一个策略. 选择一个安全策略
  5. (可选)在阻止软件包时为安装日志提供自定义消息. 自定义阻止消息
  6. 如果存在,请选中"我确认此策略可能会导致我的版本损坏"框. 确认损坏的版本
  7. 点击"应用策略".

如果npm install尝试下载违反策略的软件包,则开发人员将看到与以下类似的错误.

$ npm i [email protected]
npm notice Could not download lodash 1.0.0 due to policy violations. Use `npm audit fix` to upgrade this dependency.
npm ERR! code E403
npm ERR! 403 Forbidden - GET https://registry.npmjs.com/lodash/-/lodash-1.0.0.tgz

要解决此错误,请使用npm audit fix将依赖项升级到不违反策略的版本.


< Configuring an authentication provider