yarn npm audit
針對已安裝的套件執行漏洞稽核。
用法
$ yarn npm audit範例
檢查已安裝套件已知的安全性問題。輸出為已知問題清單。
yarn npm audit稽核所有工作區中的相依性
顯示稽核報告為有效的 JSON
稽核所有直接和傳遞相依性
輸出中度(或更嚴重)的漏洞
排除特定套件
忽略特定建議
詳細資訊
此指令會針對您使用的套件檢查已知的安全性報告。報告預設從 npm 註冊中擷取,可能與您的實際程式無關(並非所有漏洞都會影響所有程式碼路徑)。
為了與我們的其他指令一致,預設只會檢查目前工作區的直接相依性。若要將此搜尋範圍擴充至所有工作區,請使用 -A,--all。若要將此搜尋範圍擴充至直接和傳遞相依性,請使用 -R,--recursive。
套用 --severity 旗標會將稽核表格限制在對應嚴重性等級以上的漏洞。有效值為 info、low、moderate、high、critical。
如果設定 --json 旗標,Yarn 會列印從註冊中接收到的輸出。不論此旗標如何設定,如果針對所選套件找到報告,處理程序會以非零退出碼結束。
如果特定套件對特定環境產生誤判,可以使用 --exclude 旗標從稽核中排除任意數量的套件。這也可以在組態檔中使用 npmAuditExcludePackages 選項設定。
如果需要忽略特定建議,可以使用 --ignore 標記連同建議 ID 來忽略稽核報告中的任何建議數量。這也可以使用 npmAuditIgnoreAdvisories 選項設定在組態檔中。
若要了解需要有漏洞套件的相依性樹狀結構,請使用 --json 標記查看原始報告,或使用 yarn why package 來取得更多資訊,了解誰依賴它們。
選項
| 定義 | 說明 |
|---|---|
| 稽核所有工作區的相依性 |
| 也稽核傳遞相依性 |
| 要涵蓋哪些環境 |
| 將輸出格式化為 NDJSON 串流 |
| 不要對已棄用的套件發出警告 |
| 要求顯示套件的最低嚴重性 |
| 要從稽核中排除的套件全域模式陣列 |
| 要忽略的稽核報告中建議 ID 全域模式陣列 |