メインコンテンツまでスキップ
Version: Next

pnpm audit

インストールされたパッケージの既知のセキュリティ問題をチェックします。

セキュリティ上の問題が見つかった場合は、 pnpm update を使用して依存関係を更新してください。 単純な更新ですべての問題が修正されない場合は、 オーバーライド を使用して、脆弱性のないバージョンを強制します。 たとえば、 lodash@<2.1.0 に脆弱性がある場合は、このオーバーライドを使用して lodash@^2.1.0 を強制します。

package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}

または、 pnpm audit --fix を実行します。

プロジェクトに影響がない脆弱性を許容したい場合は、 pnpm.auditConfig.ignoreCves の設定を使うとよいでしょう。

オプション

--audit-level <severity>

  • タイプ: low, moderate, high, critical
  • デフォルト: low

監査レベルが <severity> 以上のアドバイザリーのみ表示します。

--fix

脆弱でないバージョンの依存を強制するために、 package.json ファイルにオーバーライドに関するフィールドを追加・追記します。

--json

JSON形式で監査レポートを出力します。

--dev, -D

devDependencies のみを監査します。

--prod, -P

プロダクションの dependencies のみを監査します。

--no-optional

optionalDependencies の監査をしません。

--ignore-registry-errors

レジストリが200以外のステータスコードで応答する場合であっても、プロセスを0で終了します。 したがって、プロセスは、レジストリが実際に見つかった脆弱性を正常に返した場合にのみ失敗します。