Pular para o conteúdo principal
Versão: 7.x

pnpm audit

Verifica problemas de segurança conhecidos nos pacotes instalados.

Se problemas de segurança forem encontrados, tente atualizar suas dependências executando pnpm update. Se uma atualização simples não corrigir todos os problemas, use substituições para força versões que não são vulneráveis. Por exemplo, se lodash@<2.1.0 for vulnerável use essa substituição para forçar lodash@^2.1.0:

package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}

Como alternativa use pnpm audit --fix.

Se você deseja tolerar algumas vulnerabilidades que você considera que não afetam seu projeto, você pode usar a configuração pnpm.auditConfig.ignoreCves.

Opções

--audit-level <severity>

  • Tipo: low, moderate, high, critical
  • Padrão: low

Exibir apenas avisos com gravidade maior ou igual a <severity>.

--fix

Adicione substituições ao package.json para força versões não vulneráveis das dependências.

--json

Produzir relatório de auditoria no formato JSON.

--dev, -D

Auditar apenas as dependências de desenvolvimento.

--prod, -P

Auditar apenas as dependências de produção.

--no-optional

Não auditar as optionalDependencies.

--ignore-registry-errors

Se o registro responder com um código de status diferente de 200, o processo será encerrado sem erros. Então o processo falhará apenas se o registro responder com sucesso e com vulnerabilidades encontradas.