pnpm audit
Перевіряє наявність відомих безпекових проблем у встановлених модулях.
Якщо безпекові проблеми виявлено, спробуйте оновити залежності командою pnpm update. Якщо звичайне оновлення не може виправити всі проблеми, використайте перевизначення, для примусового встановлення безпечної версії. Наприклад, якщо бібліотека lodash@<2.1.0 небезпечна, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0:
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
Або, запустіть pnpm audit --fix.
Якщо ви хочете проігнорувати деякі вразливості, оскільки вони не впливають на ваш проєкт, ви можете використати параметр pnpm.auditConfig.ignoreCves.
Параметри
--audit-level <рівень>
- Рівні: low, moderate, high, critical
- За замовчуванням: low
Друкує лише ті повідомлення, рівень яких вищий або дорівнює вказаному у параметрі <рівень>.
--fix
Додає перевизначення до файлу package.json для примусової заміни версій залежностей на безпечні.
--json
Виводить на екран результат перевірки у форматі JSON.
--dev, -D
Перевіряє лише dev залежності.
--prod, -P
Перевіряє лише production залежності.
--no-optional
Не перевіряє optionalDependencies.
--ignore-registry-errors
Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.