14

我正在寻找一种方法来审计 Yarn 2 中漏洞的依赖关系。在 Yarn 1.x 中npm,通过运行yarn audit而不是npm audit. 但是 Yarn 2 没有这样的命令。并且根据berry github 上的这个问题,它不会被实现(项目维护者更喜欢它是通过插件完成的)。

我试过运行npm install --package-lock-only && npm audit,但安装在我的一些本地包上阻塞(我使用link:url 类型在 package.json 中列出)。

构建它不会是一个复杂的插件,我很乐意这样做,但它不会像安装一些东西然后继续我的一天那么有趣。我环顾四周,但总是以相同的几个 vapourware / 废弃软件 repos 告终。

但我仍然猜想我只是没有找到他们。或者有一个未记录的技巧可以使它变得容易。因此我的问题:)

PS,是的,我可以link:在运行上面的npm installandnpm audit命令时临时删除本地包,但这并不是我想尝试为 CI 自动化的事情。

4

2 回答 2

3

更新(2020 年 10 月 28 日):
Yarn 2 刚刚合并了期待已久的yarn npm audit增强功能。

公关 - https://github.com/yarnpkg/berry/pull/1892
文档 - https://yarnpkg.com/cli/npm/audit

我最近在试验 Yarn 2,我发现你可以使用@efrem/auditdeps实用程序来做到这一点:

yarn dlx @efrem/auditdeps [--level=(low|moderate|high|critical)] [--production]

输出不如 from 漂亮npm audit,但您可以获得 JSON 格式的更多详细信息,您可以将其通过管道传输到其他工具或任何自定义重新格式化脚本以获得您想要的内容。

于 2020-08-26T14:02:54.297 回答
-2

我会尝试https://snyk.io/对于大型团队商业用途不是免费的,但它可以让你开始日常运行等。

(我与 Snyk.io 没有任何关联)

于 2020-08-26T09:32:17.417 回答