yarn audit
对已安装的包执行漏洞审核。
yarn audit [--verbose] [--json] [--level] [--groups]
检查已安装的包中已知的安全问题。输出为已知问题的列表。
你必须在线才能执行审核。如果指定 --offline 通用标志,将跳过审核。
如果发现任何严重程度的问题,该命令将退出,并显示一个非 0 退出代码。退出代码将掩盖严重程度。
- 1 表示信息
- 2 表示低
- 4 表示中等
- 8 表示高
- 16 表示严重
例如,如果只发现信息和中等漏洞,则退出代码将是 1 + 4 = 5
出于脚本编制的目的,yarn audit 还支持 --json 标志,该标志将以 JSON 行格式(每行一个 JSON 对象)而不是纯文本输出问题详情。
如果你在使用 audit 命令时遇到问题,请使用 --verbose 标志运行,该标志将输出 yarn 发送到 npm 注册中心以及响应数据的 JSON 数据,并在 GitHub 上打开一个包含此数据的 issue。
命令
yarn audit [--level info|low|moderate|high|critical]
应用级别标志将把审核表限制为对应级别及更高级别的漏洞。它不会影响命令的退出代码。
yarn audit [--groups group_name ...]
应用组标志将把审核表限制为相应依赖项组(例如依赖项、devDependencies)的漏洞。
仅审核一个组的示例
$ yarn audit --groups dependencies
或者多个组
$ yarn audit --groups "dependencies devDependencies"