Wenn Garn ausgeführt wird, wird die Datei gam.lock mit dem privaten Token von bash generiert

Question

Ich benutze Gem Fury für einige unserer privaten Pakete. Ich habe das Garn Registry ihre Proxy für öffentliche und unsere privaten Knotenmodule zu verwenden:

yarn config set registry "https://npm-proxy.fury.io/$GEMFURY_TOKEN/username" 

GEMFURY_TOKEN in .bash gesetzt. yarn config get registry produziert:

https://npm-proxy.fury.io/$(GEMFURY_TOKEN)/username 

Wenn wir yarn laufen, die yarn.lock Datei dies generieren:

private-module@0.1.0: 
    version "0.1.0" 
    resolved "https://npm.fury.io/username/private-module/-/0.1.0.tgz?auth=<GEMFURY TOKEN>" 
    dependencies: 
    ember-cli-babel "^5.1.6" 

private-module-2@0.1.4: 
    version "0.1.4" 
    resolved "https://npm.fury.io/username/private-module-2/-/0.1.4.tgz?auth=<GEMFURY TOKEN>" 
    dependencies: 
    ember-cli-babel "^5.1.6" 
    ember-inflector "^1.9.6" 

ich keine privaten Token im Git Repository wollen. Gibt es eine Möglichkeit, dass ich das Token aus der Datei yarn.lock bei der Generierung ausgeschlossen werden kann?

Answer 1

In dieser Situation würde ich pre-commit hooks mit der Git vorschlagen, weil ich, dass yarn Zweifel von Spar realen Pakete Urls yarn.lock verhindert werden kann, auch wenn es Anmeldeinformationen in ihnen sind - es ist die Art und Weise ist die yarn funktioniert. Pre-Commit-Hooks können diese Anmeldeinformationen jedoch von yarn.lock entfernen, wenn Sie Änderungen an Git Repository übergeben.