npm-audit Run a security audit

SYNOPSIS

npm audit [--json|--parseable|--audit-level=(low|moderate|high|critical)]
npm audit fix [--force|--package-lock-only|--dry-run]

common options: [--production] [--only=(dev|prod)]

EXAMPLES

扫描您的项目中的漏洞,并自动安装任何兼容更新到易受攻击的依赖性:

$ npm audit fix

运行audit fix而不修改node_modules ,但仍更新pkglock:

$ npm audit fix --package-lock-only

跳过更新devDependencies

$ npm audit fix --only=prod

audit fix将semver-major更新安装到顶级依赖项,而不仅仅是与semver兼容的依赖项:

$ npm audit fix --force

做一个预演,以得到一个什么样的想法audit fix就行了, 输出安装在JSON格式的信息:

$ npm audit fix --dry-run --json

扫描项目中的漏洞,仅显示详细信息,而无需修复任何问题:

$ npm audit

获取JSON格式的详细审核报告:

$ npm audit --json

以纯文本结果获取详细的审计报告,以制表符分隔,以便将来在脚本或命令行后处理中重用,例如,选择一些打印的列:

$ npm audit --parseable

要解析列,您可以使用例如awk ,并仅打印其中一些:

$ npm audit --parseable | awk -F $'\t' '{print $1,$4}'

仅在结果包含中等或更高级别的漏洞时,审核失败:

$ npm audit --audit-level=moderate

DESCRIPTION

audit命令将对项目中配置的依赖项的描述提交给默认注册表,并要求提供已知漏洞的报告. 返回的报告包含有关如何对这些信息采取行动的说明. 如果未发现漏洞,该命令将以0退出代码退出.

您还可以通过运行npm audit fix使npm自动修复漏洞. 请注意,某些漏洞无法自动修复,需要手动干预或检查. 还要注意,由于npm audit fixnpm audit fix运行了完整的npm install ,因此适用于安装程序的所有配置也将适用于npm install –因此npm audit fix --package-lock-only这样的事情将按预期工作.

默认情况下,如果发现任何漏洞,audit命令将以非零代码退出. 在CI环境中,包括--audit-level参数以指定将导致命令失败的最低漏洞级别,可能很有用. 此选项不过滤报告输出,它只是更改命令的失败阈值.

CONTENT SUBMITTED

SCRUBBING

为了确保审核数据包中不包含潜在的敏感信息,某些依赖项可能会将其名称(有时是版本)替换为不透明的不可逆标识符. 针对以下依赖项类型完成此操作:

不可逆标识符是特定于会话的UUID的sha256,并且将替换该值,以确保有效载荷内的一致值在两次运行之间是不同的.

EXIT CODE

如果未发现漏洞, npm audit命令将以0退出码退出.

如果发现漏洞,则退出代码将取决于audit-level配置设置.

SEE ALSO


by  ICOPY.SITE