pnpm audit
检查已安装包的已知安全问题。
如果发现安全问题,请尝试通过 pnpm update 更新依赖项。
如果简单的更新无法修复所有问题,请使用 overrides 强制使用
没有漏洞的版本。例如,如果 lodash@<2.1.0 存在漏洞,
使用以下 overrides 强制使用 lodash@^2.1.0:
pnpm-workspace.yaml
overrides:
"lodash@<2.1.0": "^2.1.0"
或者,运行 pnpm audit --fix。
如果某些漏洞并不影响你的项目,你想要忽略它们,可以使用 auditConfig.ignoreCves 设置。
选项
--audit-level <severity>
- 类型:low(低), moderate(中), high(高), critical(严重)
- 默认值:low
仅打印严重程度大于或等于 <severity> 的建议。
--fix
在 package.json 文件中添加 overrides,以强制使用无漏洞版本的依赖项。
--json
以 JSON 格式输出审计报告。
--dev, -D
仅审计开发依赖项。
--prod, -P
仅审计生产依赖项。
--no-optional
不审计 optionalDependencies。
--ignore-registry-errors
如果注册表响应的状态码不是 200,进程应该以 0 退出。 这样,只有当注册表成功响应并发现漏洞时,进程才会失败。