Версія: 10.x

pnpm audit

Перевіряє наявність відомих проблем безпеки у встановлених пакунках.

Якщо виявлено проблеми з безпекою, спробуйте оновити залежності за допомогою pnpm update. Якщо звичайне оновлення не може виправити всі проблеми, використайте перевизначення overrides, для примусового встановлення версій, які не є вразливими. Наприклад, якщо бібліотека lodash@<2.1.0 є вразливою, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0:

package.json
{
    "pnpm": {
        "overrides": {
            "lodash@<2.1.0": "^2.1.0"
        }
    }
}

Або, запустіть pnpm audit --fix.

Якщо ви хочете проігнорувати деякі вразливості, оскільки вони не впливають на ваш проєкт, ви можете використати параметр pnpm.auditConfig.ignoreCves.

Параметри

--audit-level <severity>

Тип: low, moderate, high, critical
Стандартно: low

Виводить лише ті попередження, серйозність яких більша або дорівнює <severity>.

--fix

Додає перевизначення до файлу package.json для примусової заміни версій залежностей на безпечні.

--json

Виводить на екран результат перевірки у форматі JSON.

--dev, -D

Перевіряє лише dev залежності.

--prod, -P

Перевіряє лише production залежності.

--no-optional

Не перевіряти optional Dependencies.

--ignore-registry-errors

Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.

Параметри​

--audit-level &lt;severity>​

--fix​

--json​

--dev, -D​

--prod, -P​

--no-optional​

--ignore-registry-errors​