npm 上的包可以在其 package.json 中定义生命周期脚本。下面列出了一些最常见的脚本,但还有 许多其他脚本。
preinstall:在安装包之前运行postinstall:在安装包之后运行preuninstall:在卸载包之前运行prepublishOnly:在发布包之前运行
这些脚本是任意的 shell 命令,包管理器应在适当的时候读取并执行这些命令。但是,执行任意脚本会带来潜在的安全风险,因此与其他 npm 客户端不同,Bun 默认不执行任意生命周期脚本。
postinstall
postinstall 脚本特别重要。它被广泛用于为作为 原生 Node.js 插件 实现的包构建或安装特定于平台的二进制文件。例如,node-sass 是一个流行的包,它使用 postinstall 为 Sass 构建一个原生二进制文件。
{
"name": "my-app",
"version": "1.0.0",
"dependencies": {
"node-sass": "^6.0.1"
}
}
trustedDependencies
Bun 不执行任意脚本,而是采用“默认安全”方法。你可以将某些包添加到允许列表中,Bun 将执行这些包的生命周期脚本。要告诉 Bun 允许特定包的生命周期脚本,请将包名称添加到 package.json 中的 trustedDependencies 数组中。
{
"name": "my-app",
"version": "1.0.0",
"trustedDependencies": ["node-sass"]
}添加到 trustedDependencies 后,安装/重新安装包。Bun 将读取此字段并为 my-trusted-package 运行生命周期脚本。
从 Bun v1.0.16 开始,默认允许前 500 个带有生命周期脚本的 npm 包。你可以 在此处 查看完整列表。
--ignore-scripts
要禁用所有包的生命周期脚本,请使用 --ignore-scripts 标志。
bun install --ignore-scripts