pnpm audit
Verifica problemas de segurança conhecidos nos pacotes instalados.
Se problemas de segurança forem encontrados, tente atualizar suas dependências executando pnpm update
. Se uma atualização simples não corrigir todos os problemas, use substituições para força versões que não são vulneráveis. Por exemplo, se lodash@<2.1.0
for vulnerável use essa substituição para forçar lodash@^2.1.0
:
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
Como alternativa use pnpm audit --fix
.
Se você deseja tolerar algumas vulnerabilidades que você considera que não afetam seu projeto, você pode usar a configuração pnpm.auditConfig.ignoreCves
.
Opções
--audit-level <severity>
- Tipo: low, moderate, high, critical
- Padrão: low
Exibir apenas avisos com gravidade maior ou igual a <severity>
.
--fix
Adicione substituições ao package.json
para força versões não vulneráveis das dependências.
--json
Produzir relatório de auditoria no formato JSON.
--dev, -D
Auditar apenas as dependências de desenvolvimento.
--prod, -P
Auditar apenas as dependências de produção.
--no-optional
Não auditar as optionalDependencies
.
--ignore-registry-errors
Se o registro responder com um código de status diferente de 200, o processo será encerrado sem erros. Então o processo falhará apenas se o registro responder com sucesso e com vulnerabilidades encontradas.