pnpm audit
Перевіряє наявність відомих безпекових проблем у встановлених модулях.
Якщо безпекові проблеми виявлено, спробуйте оновити залежності командою pnpm update
. Якщо звичайне оно влення не може виправити всі проблеми, використайте перевизначення, для примусового встановлення безпечної версії. Наприклад, якщо бібліотека lodash@<2.1.0
небезпечна, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0
:
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
Або, запустіть pnpm audit --fix
.
Якщо ви хочете проігнорувати деякі вразливості, оскільки вони не впливають на ваш проєкт, ви можете використати параметр pnpm.auditConfig.ignoreCves
.
Параметри
--audit-level <рівень>
- Рівні: low, moderate, high, critical
- За замовчуванням: low
Друкує лише ті повідомлення, рівень яких вищий або дорівнює вказаному у параметрі <рівень>
.
--fix
Додає перевизначення до файлу package.json
для примусової заміни версій залежностей на безпечні.
--json
Виводить на екран результат перевірки у форматі JSON.
--dev, -D
Перевіряє лише dev залежності.
--prod, -P
Перевіряє лише production залежності.
--no-optional
Не перевіряє optionalDependencies
.
--ignore-registry-errors
Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.