Show HN: Safe-install – 通过可信构建依赖实现更安全的 NPM 安装

鉴于 npm 供应链持续遭受入侵，我构建了 safe-install： <p><a href="https://www.npmjs.com/package/@gkiely/safe-install" rel="nofollow">https://www.npmjs.com/package/@gkiely/safe-install</a> 它提供了几项我希望 npm 内置但未实现的保护机制。 类似于 Bun 的可信依赖功能，它允许你默认禁用安装脚本，并定义一个允许运行构建/安装脚本的依赖列表： <p><a href="https://bun.com/docs/guides/install/trusted" rel="nofollow">https://bun.com/docs/guides/install/trusted</a> 它还支持屏蔽异类子依赖，类似于 pnpm 的 `blockExoticSubdeps` 设置： <p><a href="https://gajus.com/blog/3-pnpm-settings-to-protect-yourself-from-supply-chain-attacks#2-set-blockexoticsubdeps" rel="nofollow">https://gajus.com/blog/3-pnpm-settings-to-protect-yourself-f...</a> 我曾希望 npm 最终会添加类似的功能，但这似乎短期内不会实现，因此我制作了这个小型包。