我正在寻找一种方法来审计 Yarn 2 中漏洞的依赖关系。在 Yarn 1.x 中npm
,通过运行yarn audit
而不是npm audit
. 但是 Yarn 2 没有这样的命令。并且根据berry github 上的这个问题,它不会被实现(项目维护者更喜欢它是通过插件完成的)。
我试过运行npm install --package-lock-only && npm audit
,但安装在我的一些本地包上阻塞(我使用link:
url 类型在 package.json 中列出)。
构建它不会是一个复杂的插件,我很乐意这样做,但它不会像安装一些东西然后继续我的一天那么有趣。我环顾四周,但总是以相同的几个 vapourware / 废弃软件 repos 告终。
但我仍然猜想我只是没有找到他们。或者有一个未记录的技巧可以使它变得容易。因此我的问题:)
PS,是的,我可以link:
在运行上面的npm install
andnpm audit
命令时临时删除本地包,但这并不是我想尝试为 CI 自动化的事情。