pnpm audit
Перевіряє наявність відомих проблем безпеки у встановлених пакунках.
Якщо виявлено проблеми з безпекою, спробуйте оновити залежності за допомогою pnpm update.
Якщо звичайне оновлення не може виправити всі проблеми, використайте перевизначення overrides, для примусового встановлення версій, які не є вразливими. Наприклад, якщо бібліотека lodash@<2.1.0 є вразливою, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0:
overrides:
"lodash@<2.1.0": "^2.1.0"
Або, запустіть pnpm audit --fix.
If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreCves setting.
Параметри
--audit-level <severity>
- Тип: low, moderate, high, critical
- Стандартно: low
Виводить лише ті попередження, серйозність яких більша або дорівнює <severity>.
--fix
Додає перевизначення до файлу package.json для примусової заміни версій залежностей на безпечні.
--json
Виводить на екран результат перевірки у форматі JSON.
--dev, -D
Перевіряє лише dev залежності.
--prod, -P
Перевіряє лише production залежності.
--no-optional
Не перевіряти optional Dependencies.
--ignore-registry-errors
Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.