是否应该忽略.NPMRC？

Question

Fontawesome Pro 说明 描述了将密钥放在 .npmrc 文件中，但尚不清楚应如何管理该文件。具体来说，这个文件应该被 Git 忽略吗？

Answer 1

是正确的示例，是在.nmprc文件中管理敏感信息的一般方法：

• 所有敏感值应由环境变量替换，然后
• 应将这些变量定义为托管秘密在任何环境下，仓库都将被推向。

Answer 2

我的答案说，最好忽略它而不是努力回购。好像您有多个工程师对生成的软件包进行贡献更改，以将每个开发人员都必须具有自己的.NPMRC文件推向注册表，并且“您不太可能希望将其推入repo，因为每次尝试都会覆盖/冲突。

我可以想象一个方案，您想通过为所有开发人员使用一个凭据，因此想自动化一个全局.npmrc文件，但这是我认为的显而易见的安全性人造PA。

Answer 3

您可以

• 将 .npmrc 文件复制到 .npmrc_local
• 忽略文件 .npmrc_local （通过 .gitignore）
• 从 .npmrc 中删除敏感数据代码> 文件。
• 在 npm install 之前将更改推送到存储库，
• 只是将 .npmrc_local 临时编译到 .npmrc 中。

这样 git repo 中就没有敏感日期了。这种方法可以用在可以轻松管理安全文件的地方（例如azure）