pnpm构建时提示“Ignored build scripts: core-js, esbuild. Run 'pnpm approve-builds'”如何解决？

1. 问题概述

在使用pnpm进行项目构建时，如果遇到提示“Ignored build scripts: core-js, esbuild. Run 'pnpm approve-builds'”，这是由于pnpm的安全机制默认忽略了一些可能影响性能或安全的构建脚本。这种机制旨在保护用户免受潜在恶意脚本的影响，但有时也可能导致合法脚本无法正常运行。

以下是解决该问题的步骤以及相关注意事项：

• 运行`pnpm approve-builds`命令手动批准被忽略的构建脚本。
• 通过配置`.pnpmfile.js`文件自定义规则，避免每次都手动执行命令。
• 检查pnpm版本是否为最新，并尝试清理缓存（`pnpm store prune`）。

2. 深入分析

pnpm的安全机制基于其独特的依赖管理方式。与npm和yarn不同，pnpm采用内容寻址存储（CAS）来管理依赖项，从而减少磁盘占用并提高性能。然而，这也意味着pnpm需要对构建脚本进行更严格的控制，以防止某些脚本破坏全局依赖链。

具体来说，当pnpm检测到未批准的构建脚本时，会自动将其忽略并提示用户运行`pnpm approve-builds`命令。该命令会生成或更新`.pnpmfile.js`文件，并将批准的脚本记录到`package.json`的`pnpmApprovedBuilds`字段中。

以下是一个示例流程图，展示了解决问题的逻辑：

graph TD;
    A[遇到提示] --> B{是否了解脚本安全性};
    B --是--> C[运行`pnpm approve-builds`];
    B --否--> D[终止操作];
    C --> E[检查pnpm版本];
    E --> F[更新pnpm或清理缓存];
    

3. 解决方案详解

以下是两种主要解决方案的详细说明：

1. 手动批准构建脚本: 运行`pnpm approve-builds`命令后，pnpm会生成一个`.pnpmfile.js`文件（如果不存在），并将批准的脚本记录到`package.json`的`pnpmApprovedBuilds`字段中。
2. 通过`.pnpmfile.js`自定义规则: 可以通过配置`.pnpmfile.js`文件，预先批准特定的构建脚本，避免每次都需要手动执行命令。例如：

module.exports = {
  hooks: {
    readPackage(packageData) {
      packageData.pnpmApprovedBuilds = ['core-js', 'esbuild'];
      return packageData;
    },
  },
};
    

确保了解这些脚本的安全性后再批准，以免引入潜在风险。

4. 常见问题排查

如果上述方法仍未解决问题，可以尝试以下步骤：