Version : Suivant

pnpm audit

Vérifie les problèmes de sécurité connus avec les paquets installés.

Si des problèmes de sécurité sont détectés, essayez de mettre à jour vos dépendances via pnpm update. If a simple update does not fix all the issues, use overrides to force versions that are not vulnerable. Par exemple, si lodash@<2.1.0 est vulnérable, utilisez ces substitutions pour forcer lodash@^2.1.0:

pnpm-workspace.yaml
overrides:
  "lodash@<2.1.0": "^2.1.0"

Ou autrement, exécutez pnpm audit --fix.

If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreCves setting.

Options

--audit-level <severity>

Type: low, moderate, high, critical
Par défaut : low

N'afficher que les alertes dont la gravité est supérieure ou égale à <severity>.

--fix

Ajouter des remplacements au fichier package.json afin de forcer les versions non vulnérables des dépendances.

--json

Générer le rapport d'audit au format JSON.

--dev, -D

Audite uniquement les dépendances de dev.

--prod, -P

Audite uniquement les dépendances de production.

--no-optional

Ne pas auditer les optionalDependencies.

--ignore-registry-errors

Si le registre répond avec un code d'état non-200, le processus doit sortir avec 0. Le processus n'échouera donc que si le registre répond effectivement avec succès aux vulnérabilités trouvées.

--ignore-unfixable

Added in: v10.11.0

Ignore all CVEs with no resolution.

--ignore <vulnerability>

Added in: v10.11.0

Ignore a vulnerability by CVE.

Options​

--audit-level <severity>​

--fix​

--json​

--dev, -D​

--prod, -P​

--no-optional​

--ignore-registry-errors​

--ignore-unfixable​

--ignore <vulnerability>​