pnpm audit
添加于:v4.3.0
检查已安装包的已知安全问题。
如果发现安全问题,请尝试通过 pnpm update
更新您的依赖项。 如果简单的更新不能解决所有问题,请使用 overrides 来强制使用 不易受攻击的版本。 例如,如果 lodash@<2.1.0
易受攻击,可用这个overrides
来强制使用 lodash@^2.1.0
:
package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
或者,运行 pnpm audit --fix
。
配置项
--audit-level <severity>
- 类型: low, moderate, high, critical
- 默认值: low
仅打印严重程序大于或等于 <severity>
的警告。
--fix
添加于:v6.11.0
强制将不易受攻击的版本,添加覆盖到 package.json
文件中。
--json
以 JSON 格式输出审查报告。
--dev, -D
仅审查开发依赖项。
--prod, -P
仅审查生产依赖项。
--no-optional
不审查 optionalDependencies
。
--ignore-registry-errors
添加于:v6.7.1
如果注册表响应了非 200 状态码,则进程应以 0 退出。 所以只有当注册表真正的成功响应了有发现的漏洞时,该进程才会执行失败。