pnpm audit
在已安裝的套件中檢查已知的安全性問題。
如果有發現安全性問題,請嘗試透過 pnpm update
來更新您的套件。 If a simple update does not fix all the issues, use overrides to force versions that are not vulnerable. 例如,若 lodash@<2.1.0
已容易受到攻擊,可使用 overrides 強制使用 lodash@^2.1.0
:
pnpm-workspace.yaml
overrides:
"lodash@<2.1.0": "^2.1.0"
或是,執行 pnpm audit --fix
。
If you want to tolerate some vulnerabilities as they don't affect your project, you may use the auditConfig.ignoreCves
setting.
選項
--audit-level <severity>
- 種類: low, moderate, high, critical
- 預設: low
只顯示嚴重性大於或等於 <severity>
的警告。
--fix
將 overrides 加入 package.json
中,以強制使用沒有漏洞的依賴套件版本。
--json
以 JSON 格式輸出檢查報告。
--dev, -D
僅檢查開發中 dev 的依賴套件。
--prod, -P
僅檢查實際 production 的依賴套件。
--no-optional
不要檢查 optionalDependencies
。
--ignore-registry-errors
如果依賴套件registry 以非 Http 狀態碼 200 進行回應,則進程應以 0 退出。 因此,只有在registry已順利回應發現的漏洞時,程序才會退出。