yarn npm audit

针对已安装的软件包执行漏洞审核

语法

                            

                            

                            
yarn npm audit
                        

实例

检查已安装软件包的已知安全问题,输出是已知问题的列表:

                            

                            

                            
yarn npm audit
                        

审核所有工作区中的依赖项：

                            

                            

                            
yarn npm audit --all
                        

将审核限制为dependencies（不包括devDependencies）：

                            

                            

                            
yarn npm audit --environment production
                        

忽略特定建议：

                            

                            

                            
yarn npm audit --ignore 1234567 --ignore 7654321
                        

选项

-A,--all

审计所有工作区的依赖关系

-R,--recursive

审计传递依赖

--environment #0

涵盖哪些环境

--json

输出格式化为 NDJSON 流

--severity #0

要求显示包的最低严重性

--exclude #0

要从审计中排除的包的 glob 模式数组

--ignore #0

审计报告中要忽略的建议 ID 的 glob 模式数组

细节

此命令检查有关您使用的包的已知安全报告。默认情况下，报告是从 npm 注册表中提取的，可能与您的实际程序相关，也可能不相关（并非所有漏洞都会影响所有代码路径）。

为了与我们的其他命令保持一致，默认情况下仅检查活动工作区的直接依赖关系。要将此搜索扩展到所有工作区，请使用 -A,--all. 要将此搜索扩展到直接和传递依赖项，请使用 -R,--recursive.

应用该 --severity标志会将审计表限制为相应严重程度及以上的漏洞。有效值为info, low, moderate, high, critical。

如果 --json设置了标志，Yarn 将打印从注册表接收到的输出。无论此标志如何，如果找到所选包的报告，进程将以非零退出代码退出。

如果某些包对特定环境产生误报，则该 --exclude标志可用于从审计中排除任意数量的包。这也可以通过选项在配置文件中设置 npmAuditExcludePackages。

如果需要忽略特定的建议，则 --ignore 可以将标志与建议 ID 一起使用，以忽略审计报告中的任意数量的建议。这也可以通过选项在配置文件中设置 npmAuditIgnoreAdvisories。

要了解需要易受攻击包的依赖关系树，请检查带有标志的原始报告 --json 或使用 yarn why <package>以获取有关谁依赖它们的更多信息。