본문으로 건너뛰기
버전: 8.x

pnpm audit

설치된 패키지의 알려진 보안 문제를 확인합니다.

보안 문제가 발견되면 pnpm update를 통해 의존성을 업데이트하십시오. 간단한 업데이트로 모든 문제가 해결되지 않으면 override를 사용하여 취약하지 않은 버전을 강제합니다. 예를 들어 lodash@<2.1.0 가 취약한 경우 이 override를 사용하여 lodash@^2.1.0를 강제 실행합니다.

package.json
{
"pnpm": {
"overrides": {
"lodash@<2.1.0": "^2.1.0"
}
}
}

또는 pnpm audit --fix을 실행합니다.

프로젝트에 영향을 주지 않는 일부 취약성을 허용하려면 pnpm.auditConfig.ignoreCves 설정을 사용할 수 있습니다.

옵션

--audit-level <심각도>

  • 유형: low, moderate, high, critical
  • 기본값: 낮음

<severity>보다 크거나 같은 심각도의 권고 사항만 출력됩니다.

--fix

취약하지 않은 버전의 의존성을 강제하기 위해 package.json 파일에 override를 추가하세요.

--json

JSON 형식으로 검사 보고서를 출력합니다.

--dev, -D

개발 의존성만 검사합니다.

--prod, -P

프로덕션 종속성만 검사합니다.

--no-optional

optionalDependencies은 확인하지 않습니다.

--ignore-registry-errors

레지스트리가 200이 아닌 상태 코드로 응답하면 프로세스가 0으로 종료되어야 합니다. 따라서 레지스트리가 실제로 발견된 취약점에 성공적으로 응답하는 경우에만 프로세스가 실패합니다.