pnpm audit

检查已安装包的已知安全问题。

如果发现安全问题,请尝试通过 pnpm update 更新您的依赖项。 如果简单的更新不能解决所有问题,请使用 overrides 来强制使用 不易受攻击的版本。 例如,如果 lodash@<2.1.0 易受攻击,可用这个overrides来强制使用 lodash@^2.1.0

package.json

  1. {
  2.     "pnpm": {
  3.         "overrides": {
  4.             "lodash@<2.1.0": "^2.1.0"
  5.         }
  6.     }
  7. }

或者,运行 pnpm audit --fix

如果您想容忍一些不影响项目的漏洞,可以使用 pnpm.auditConfig.ignoreCves 设置。

配置项

--audit-level <severity>

  • 类型: low, moderate, high, critical
  • 默认值: low

仅打印严重程序大于或等于 <severity> 的警告。

--fix

强制将不易受攻击的版本,添加覆盖到 package.json 文件中。

--json

以 JSON 格式输出审查报告。

--dev, -D

仅审查开发依赖项。

--prod, -P

仅审查生产依赖项。

--no-optional

不审查 optionalDependencies

--ignore-registry-errors

如果注册表响应了非 200 状态码,则进程应以 0 退出。 所以只有当注册表真正的成功响应了有发现的漏洞时,该进程才会执行失败。