Перейти до основного змісту
Версія: 7.x

pnpm audit

Перевіряє наявність відомих безпекових проблем у встановлених модулях.

Якщо безпекові проблеми виявлено, спробуйте оновити залежності командою pnpm update. Якщо звичайне оновлення не може виправити всі проблеми, використайте перевизначення, для примусового встановлення безпечної версії. Наприклад, якщо бібліотека lodash@<2.1.0 небезпечна, скористайтеся цим перевизначенням для встановлення lodash@^2.1.0:

package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}

Або, запустіть pnpm audit --fix.

Якщо ви хочете проігнорувати деякі вразливості, оскільки вони не впливають на ваш проєкт, ви можете використати параметр pnpm.auditConfig.ignoreCves.

Options

--audit-level <рівень>

  • Рівні: low, moderate, high, critical
  • За замовчуванням: low

Друкує лише ті повідомлення, рівень яких вищий або дорівнює вказаному у параметрі <рівень>.

--fix

Додає перевизначення до файлу package.json для примусової заміни версій залежностей на безпечні.

--json

Виводить на екран результат перевірки у форматі JSON.

--dev, -D

Перевіряє лише dev залежності.

--prod, -P

Перевіряє лише production залежності.

--no-optional

Не перевіряє optionalDependencies.

--ignore-registry-errors

Якщо реєстр повертає код статусу, відмінний від 200, процес повинен завершитися з 0. Таким чином, процес завершиться невдачею лише у випадку, якщо реєстр успішно відповість і знайде вразливості.