使用 npm 全域安裝軟體是否安全？

node.js 包管理器npm有一個全域安裝包的選項。由於發行版通常有自己的包管理器，使用全域選項是否安全？包是否會npm與分發包發生衝突並導致難以追溯的錯誤？

這取決於npm安裝時的配置方式。

如果從發行版中包含的軟體包npm安裝在 Debian 上，那麼，是的，它是安全的。npm使用 global 選項 installs to /usr/local，它被明確地留給本地軟體安裝，並且不應與作業系統發行版自己的安裝衝突。

npm -g安裝到/usr/local( /usr/local/lib/node_modules, /usr/local/bin, 等等…)，即使它npm本身位於，/usr/bin就像它本身是從一個 Debian 軟體包安裝的一樣，它是作業系統發行版的一部分。

很可能還有其他適用於上述內容的作業系統發行版。

另一方面，在 Fedora 上，npm將軟體包安裝到/usr/lib/node_modules（而不是/usr/local）。我不知道這是否安全。這取決於是否有任何 Fedora 打包的 nodejs 模組也去了，/usr/lib/node_modules或者它們是否去了其他地方。如果他們去別的地方，那將是安全的。

引用自：https://unix.stackexchange.com/questions/165003