yarn npm audit
对已安装的包执行漏洞审核。
用法
$ yarn npm audit示例
检查已安装软件包的已知安全问题。输出是已知问题的列表。 :
yarn npm audit审计所有工作区中的依赖 :
将审计限制到 dependencies(不包括 devDependencies)
:
显示审计报告为有效 JSON :
审计所有直接和传递依赖 :
输出中等(或更严重)漏洞 :
排除某些包 :
忽略特定建议 :
详情
此命令检查你使用的包的已知安全报告。报告默认从 npm
实际程序相关,也可能不相关(并非所有漏洞都会影响所有代码路径)。为了与我们的其他命令保持一致,默认仅检查活动工作区的直接依赖。要将此搜索扩展到所有工作区,请使用
-A,--all。要将此搜索扩展到直接和传递依赖,请使用 -R,--recursive。应用 --severity
标志将限制审计表包含相应严重程度及以上的漏洞。有效值为 info, low, moderate, high, critical。如果设置了
--json 标志,Yarn
将完全按照从注册表收到的输出打印输出。无论此标志如何,如果为所选软件包找到报告,则该过程将以非零退出代码退出。如果某些软件包对特定环境产生误报,则可以使用
--exclude 标志从审计中排除任意数量的软件包。这也可以在配置文件中使用 npmAuditExcludePackages
选项进行设置。如果需要忽略特定的建议,可以将 --ignore 标志与建议 ID 一起使用,以忽略审计报告中的任意数量的建议。这也可以在配置文件中使用
npmAuditIgnoreAdvisories 选项进行设置。要了解需要易受攻击的软件包的依赖树,请使用 --json 标志检查原始报告或使用
yarn why package 获取有关谁依赖它们的更多信息。
选项
| 定义 | 描述 |
|---|---|
| 审计所有工作区的依赖 |
| 同时审计传递依赖 |
| 要覆盖哪些环境 |
| 将输出格式化为 NDJSON 流 |
| 不警告已弃用的包 |
| 要求显示的包的最低严重性 |
| 要从审计中排除的包的 glob 模式数组 |
| 要在审计报告中忽略的咨询 ID 的 glob 模式数组 |