pnpm audit
インストールされたパッケージの既知のセキュリティ問題をチェックします。
セキュリティ上の問題が見つかった場合は、 pnpm update を使用して依存関係を更新してください。 If a simple update does not fix all the issues, use overrides to force versions that are not vulnerable. たとえば、 lodash@<2.1.0 に脆弱性がある場合は、このオーバーライドを使用して lodash@^2.1.0 を強制します。
overrides:
"lodash@<2.1.0": "^2.1.0"
または、 pnpm audit --fix を実行します。
If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreCves setting.
オプション
--audit-level <severity>
- タイプ: low, moderate, high, critical
- デフォルト: low
監査レベルが <severity> 以上のアドバイザリーのみ表示します。
--fix
脆弱でないバージョンの依存を強制するために、 package.json ファイルにオーバーライドに関するフィールドを追加・追記します。
--json
JSON形式で監査レポートを出力します。
--dev, -D
devDependencies のみを監査します。
--prod, -P
プロダクションの dependencies のみを監査します。
--no-optional
optionalDependencies の監査をしません。
--ignore-registry-errors
レジストリが200以外のステータスコードで応答する場合であっても、プロセスを0で終了します。 したがって、プロセスは、レジストリが実際に見つかった脆弱性を正常に返した場合にのみ失敗します。
--ignore-unfixable
Added in: v10.11.0
Ignore all CVEs with no resolution.
--ignore <vulnerability>
Added in: v10.11.0
Ignore a vulnerability by CVE.