Версия: 8.x

pnpm audit

Проверяет наличие известных проблем безопасности с установленными пакетами.

Если обнаружены проблемы безопасности, попробуйте обновить свои зависимости с помощью pnpm update. Если простое обновление не устраняет все проблемы, используйте overrides для принудительной установки версий, которые не являются уязвимыми. Например, если lodash@<2.1.0 имеет уязвимости, используйте это переопределение версии пакета для принуждения использования lodash@^2.1.0:

package.json
{
    "pnpm": {
        "overrides": {
            "lodash@<2.1.0": "^2.1.0"
        }
    }
}

Или, как вариант, запустите pnpm audit --fix.

Если вы хотите допустить некоторые уязвимости, так как уверены, что они не влияют на ваш проект, вы можете использовать параметр pnpm.auditConfig.ignoreCves.

Опции

--audit-level <степень серьезности>

Тип: low, moderate, high, critical
По умолчанию: low

Выводить сообщения только со степенью серьезности больше или равной <степень серьезности>.

--fix

Добавляет переопределения в файл package.json для принудительного использования не подверженных уязвимостям версий зависимостей.

--json

Показывать вывод в JSON формате.

--dev, -D

Проводить аудит только dev зависимостей.

--prod, -P

Проводить аудит только production зависимостей.

--no-optional

Не проводить аудит optionalDependencies.

--ignore-registry-errors

Если реестр отвечает статус-кодом отличным от 200, процесс завершится с кодом завершения 0. Поэтому процесс завершится неудачей только в том случае, если реестр действительно успешно отреагирует на найденные уязвимости.

Опции​

--audit-level <степень серьезности>​

--fix​

--json​

--dev, -D​

--prod, -P​

--no-optional​

--ignore-registry-errors​