Im Gegensatz zu anderen npm-Clients führt Bun keine beliebigen Lifecycle-Skripte für installierte Abhängigkeiten aus, wie postinstall- und node-gyp-Builds. Diese Skripte stellen ein potenzielles Sicherheitsrisiko dar, da sie beliebigen Code auf Ihrem Computer ausführen können.
NOTE
Bun enthält eine standardmäßige Allowlist populärer Pakete mit `postinstall`-Skripten, die als sicher bekannt sind. Sie können diese Liste [hier](https://github.com/oven-sh/bun/blob/main/src/install/default-trusted-dependencies.txt) einsehen.Wenn Sie einen der folgenden Fehler sehen, versuchen Sie wahrscheinlich, ein Paket zu verwenden, das postinstall zur ordnungsgemäßen Funktion benötigt:
error: could not determine executable to run for packageInvalidExe
Um Bun zu erlauben, Lifecycle-Skripte für ein bestimmtes Paket auszuführen, fügen Sie das Paket zu trustedDependencies in Ihrer package.json-Datei hinzu. Sie können dies automatisch tun, indem Sie den Befehl bun pm trust <pkg> ausführen.
NOTE
Beachten Sie, dass dies nur Lifecycle-Skripte für das spezifische in `trustedDependencies` aufgeführte Paket erlaubt, _nicht_ die Abhängigkeiten dieser Abhängigkeit!{
"name": "my-app",
"version": "1.0.0",
"trustedDependencies": ["my-trusted-package"]
}Sobald dies hinzugefügt ist, führen Sie eine Neuinstallation durch. Bun wird Ihre Abhängigkeiten neu installieren und ordnungsgemäß installieren.
rm -rf node_modules
rm bun.lock
bun installSiehe Docs > Package Manager > Trusted Dependencies für vollständige Dokumentation vertrauenswürdiger Abhängigkeiten.