【发布时间】:2020-12-01 09:20:58
【问题描述】:
我正在寻找一种方法来审核 Yarn 2 中漏洞的依赖关系。在 Yarn 1.x 中,通过运行 yarn audit 而不是 npm audit,可能与 npm 中的情况相同。但是 Yarn 2 没有这样的命令。而且根据 berry github 上的this issue,它不会被实现(项目维护者更喜欢通过插件来完成)。
我尝试过运行npm install --package-lock-only && npm audit,但我的一些本地包(我使用link: url 类型在package.json 中列出)上的安装阻塞。
它不会是一个复杂的插件,我很乐意这样做,但它不会像安装一些东西然后继续我的一天那么有趣。我环顾四周,但总是以相同的几个vapourware /放弃软件回购结束。
但我仍然猜想我只是没有找到它们。或者有一个未记录的技巧可以使它变得容易。因此我的问题:)
PS,是的,当我运行上面的 npm install 和 npm audit 命令时,我可以暂时使用 link: 删除本地包,但这并不是我想尝试为 CI 自动化的那种事情。
【问题讨论】:
标签: javascript typescript npm npm-audit yarnpkg-v2