バージョン: 9.x

pnpm audit

インストール済みのパッケージの既知のセキュリティ問題をチェックします。

セキュリティ問題が見つかった場合は、pnpm updateで依存関係を更新してみてください。単純な更新で問題がすべて解決しない場合は、overridesを使用して、脆弱性がないバージョンを強制的に指定してください。たとえば、lodash@<2.1.0に脆弱性がある場合は、この overrides を使用して lodash@^2.1.0 を強制します。

package.json
{
    "pnpm": {
        "overrides": {
            "lodash@<2.1.0": "^2.1.0"
        }
    }
}

または、pnpm audit --fixを実行することもできます。

プロジェクトに影響がない脆弱性を許容したい場合は、pnpm.auditConfig.ignoreCves設定を使用できます。

オプション

--audit-level <severity>

タイプ: low, moderate, high, critical
デフォルト: low

<severity>以上の重大度の勧告のみを出力します。

--fix

脆弱性がない依存関係のバージョンを強制するために、package.jsonファイルに overrides を追加します。

--json

監査レポートを JSON 形式で出力します。

--dev, -D

開発依存関係のみを監査します。

--prod, -P

本番環境の依存関係のみを監査します。

--no-optional

optionalDependenciesを監査しません。

--ignore-registry-errors

レジストリが 200 以外のステータスコードで応答した場合、プロセスは 0 で終了する必要があります。したがって、プロセスはレジストリが実際に脆弱性が見つかったことを正常に応答した場合にのみ失敗します。

オプション​

--audit-level <severity>​

--fix​

--json​

--dev, -D​

--prod, -P​

--no-optional​

--ignore-registry-errors​