pnpm audit
检查已安装包的已知安全问题。
如果发现安全问题,请尝试通过 pnpm update 更新您的依赖项。如果简单的更新无法解决所有问题,请使用 覆盖 强制使用不受影响的版本。例如,如果 lodash@<2.1.0 有漏洞,请使用此覆盖强制使用 lodash@^2.1.0
package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
或者,运行 pnpm audit --fix。
如果您想容忍一些漏洞,因为它们不会影响您的项目,您可以使用 pnpm.auditConfig.ignoreCves 设置。
选项
--audit-level <severity>
- 类型: low, moderate, high, critical
- 默认: low
仅打印严重程度大于或等于 <severity> 的建议。
--fix
向 package.json 文件添加覆盖,以强制使用不受影响的依赖项版本。
--json
以 JSON 格式输出审计报告。
--dev, -D
仅审计开发依赖项。
--prod, -P
仅审计生产依赖项。
--no-optional
不要审计 optionalDependencies。
--ignore-registry-errors
如果注册表响应非 200 状态代码,则进程应退出并返回 0。因此,进程仅在注册表实际成功响应并发现漏洞时才会失败。