pnpm audit
インストールされたパッケージの既知のセキュリティ問題をチェックします。
セキュリティ上の問題が見つかった場合は、 pnpm update
を使用して依存関係を更新してください。 単純な更新ですべての問題が修正されない場合は、 オーバーライド を使用して、脆弱性のないバージョンを強制します。 たとえば、 lodash@<2.1.0
に脆弱性がある場合は、このオーバーライドを使用して lodash@^2.1.0
を強制します。
package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}
または、 pnpm audit --fix
を実行します。
プロジェクトに影響がない脆弱性を許容したい場合は、 pnpm.auditConfig.ignoreCves
の設定を使うとよいでしょう。
Options
--audit-level <severity>
- タイプ: low, moderate, high, critical