pnpm audit
在已安裝的套件中檢查已知的安全性問題。
如果有發現安全性問題,請嘗試透過 pnpm update
來更新您的套件。 如果簡單的更新沒有辦法解決所有問題,請使用 overrides 來強制更新不易受攻擊的版本。 例如,若 lodash@<2.1.0
已容易受到攻擊,可使用 overrides 強制使用 lodash@^2.1.0
:
package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
或是,執行 pnpm audit --fix
。
有一些安全性漏洞不影響您的專案,如果您想忽略它們,可以利用 pnpm.auditConfig.ignoreCves
設定。
Options
--audit-level <severity>
- 種類: low, moderate, high, critical
- 預設: low
只顯示嚴重性大於或等於 <severity>
的警告。
--fix
將 overrides 加入 package.json
中,以強制使用沒有漏洞的依賴套件版本。
--json
以 JSON 格式輸出檢查報告。
--dev, -D
僅檢查開發中 dev 的依賴套件。
--prod, -P
僅檢查實際 production 的依賴套件。
--no-optional
不要檢查 optionalDependencies
。
--ignore-registry-errors
如果依賴套件registry 以非 Http 狀態碼 200 進行回應,則 進程應以 0 退出。 因此,只有在registry已順利回應發現的漏洞時,程序才會退出。