Перейти до основного змісту
Версія: 11.x

pnpm audit

Перевіряє наявність відомих проблем безпеки у встановлених пакунках.

Якщо виявлено проблеми з безпекою, спробуйте оновити залежності за допомогою pnpm update. Якщо звичайне оновлення не може виправити всі проблеми, використайте перевизначення overrides, для примусового встановлення версій, які не є вразливими. Наприклад, якщо бібліотека lodash@<2.1.0 є вразливою, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0:

pnpm-workspace.yaml
overrides:
  "lodash@<2.1.0": "^2.1.0"

Або, запустіть pnpm audit --fix.

If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreGhsas setting.

Since v11, pnpm audit queries the registry's /-/npm/v1/security/advisories/bulk endpoint. Відповідь не містить ідентифікаторів CVE, тому повідомлення фільтруються за ідентифікатором повідомлення GitHub (GHSA). If you previously listed CVEs under auditConfig.ignoreCves, replace each entry with the corresponding GHSA-xxxx-xxxx-xxxx value (shown in the More info column of pnpm audit output) under auditConfig.ignoreGhsas.

Параметри

--audit-level <severity>

  • Тип: low, moderate, high, critical
  • Стандартно: low

Виводить лише ті попередження, серйозність яких більша або дорівнює <severity>.

Це також можна встановити за допомогою auditLevel у pnpm-workspace.yaml.

--fix

Додає перевизначення до файлу pnpm-workspace.yaml для примусової заміни версій залежностей на безпечні.

Використовуйте --fix=update (додано у v11.0.0) для виправлення вразливостей шляхом оновлення пакунків у файлі блокування замість додавання перевизначень.

Якщо встановлено значення minimumReleaseAge, опція --fix також додає мінімальну виправлену версію кожного повідомлення про вразливість до minimumReleaseAgeExclude у файлі pnpm-workspace.yaml, завдяки чому виправлення безпеки можна встановити, не чекаючи закінчення вікна випуску.

--interactive, -i

Додано у: v11.0.0

Review the advisories selected by --fix and pick which ones to apply. Only usable together with --fix.

--json

Виводить на екран результат перевірки у форматі JSON.

--dev, -D

Перевіряє лише dev залежності.

--prod, -P

Перевіряє лише production залежності.

--no-optional

Не перевіряти optional Dependencies.

--ignore-registry-errors

Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.

--ignore-unfixable

Added in: v10.11.0

Ignore all advisories with no resolution.

Since v11, unfixable advisories are tracked by GHSA rather than CVE.

--ignore <vulnerability>

Added in: v10.11.0

Ignore a vulnerability by its GitHub advisory ID (GHSA). Before v11 this flag accepted CVE identifiers.

Налаштування

auditConfig

auditConfig.ignoreGhsas

A list of GHSA codes that will be ignored by the pnpm audit command.

auditConfig:
  ignoreGhsas:
    - GHSA-42xw-2xvc-qx8m
    - GHSA-4w2v-q235-vp99
    - GHSA-cph5-m8f7-6c5x
    - GHSA-vh95-rmgr-6w4m

Before v11, auditConfig.ignoreCves was used to filter advisories by CVE identifier. That setting is no longer recognized.