pnpm audit
설치된 패키지의 알려진 보안 문제를 확인합니다.
보안 문제가 발견되면 pnpm update
를 통해 의존성을 업데이트하십시오. 간단한 업데이트로 모든 문제가 해결되지 않으면 override를 사용하여 취약하지 않은 버전을 강제합니다. 예를 들어 lodash@<2.1.0
가 취약한 경우 이 override를 사용하여 lodash@^2.1.0
를 강제 실행합니다.
package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
또는 pnpm audit --fix
을 실행합니다.
프로젝트에 영향을 주지 않는 일부 취약성을 허용하려면 pnpm.auditConfig.ignoreCves
설정을 사용할 수 있습니다.
옵션
--audit-level <심각 도>
- 유형: low, moderate, high, critical
- 기본값: 낮음
<severity>
보다 크거나 같은 심각도의 권고 사항만 출력됩니다.
--fix
취약하지 않은 버전의 의존성을 강제하기 위해 package.json
파일에 override를 추가하세요.
--json
JSON 형식으로 검사 보고서를 출력합니다.
--dev, -D
개발 의존성만 검사합니다.
--prod, -P
프로덕션 종속성만 검사합니다.
--no-optional
optionalDependencies
은 확인하지 않습니다.
--ignore-registry-errors
레지스트리가 200이 아닌 상태 코드로 응답하면 프로세스가 0으로 종료되어야 합니다. 따라서 레지스트리가 실제로 발견된 취약점에 성공적으로 응답하는 경우에만 프로세스가 실패합니다.