npm audit |
Audit |
---|---|
npm |
Syntaxe
npm audit [--json|--parseable|--audit-level=(low|moderate|high|critical)] [--production] [--only=(dev|prod)] |
npm audit fix [--force|--package-lock-only|--dry-run] [--production] [--only=(dev|prod)] |
Paramètres
Nom | Description |
---|---|
fix | Ce paramètre permet d'appliquer les corrections à l'arborescence des paquets. |
--json | Ce paramètre permet d'indiquer que la sortie doit être au format JSON. |
--omit | Ce paramètre permet d'indiquer que le paquets seront omis de la charge utile soumise. |
... | ... |
Description
Cette commande permet de lancer un audit de sécurité.
Remarques
- La commande npm audit soumet une description des dépendances configurées dans votre projet à votre registre par défaut et demande un rapport des vulnérabilités connues. Si des vulnérabilités sont détectées, l'impact et la correction appropriée seront calculés. Si le paramètre fix est fourni, les corrections seront appliquées à l'arborescence des paquets.
- La commande se terminera avec un code de sortie 0 si aucune vulnérabilité n'a été trouvée.
- Notez que certaines vulnérabilités ne peuvent pas être corrigées automatiquement et nécessiteront une intervention manuelle ou un examen. Notez également que puisque le correctif de npm audit exécute une installation complète de npm sous le capot, toutes les configurations s'appliquant à l'installateur s'appliqueront également à l'installation de npm - donc des choses comme le correctif de npm audit --package-lock-only fonctionneront comme prévu.
- Par défaut, la commande de npm audit se terminera avec un code différent de zéro si une vulnérabilité est détectée. Il peut être utile dans les environnements CI d'inclure le paramètre --audit-level pour spécifier le niveau de vulnérabilité minimum entraînant l'échec de la commande. Cette option ne filtre pas la sortie du rapport, elle modifie simplement le seuil d'échec de la commande.
Exemple
L'exemple suivant permet d'afficher l'état actuel de l'audit de sécurité :
npm audit |
on obtiendra le résultat suivant: :
=== npm audit security report === # Run npm install axios@0.21.1 to resolve 1 vulnerability High Server-Side Request Forgery Package axios Dependency of axios Path axios More info https://npmjs.com/advisories/1594 # Run npm install react-scripts@4.0.3 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change High Prototype Pollution Package immer Dependency of react-scripts Path react-scripts > react-dev-utils > immer More info https://npmjs.com/advisories/1603 found 2 high severity vulnerabilities in 2401 scanned packages run `npm audit fix` to fix 1 of them. 1 vulnerability requires semver-major dependency updates. |
Dernière mise à jour : Lundi, le 14 Décembre 2020