logo标签列表

npm审计仅适用于生产依赖项?

node.jssecuritynpmaudit
44

目前,在项目中运行npm audit时,它会同时检查dependenciesdevDependencies。我想找到一种只检查dependencies的方法。目前是否有这样的方法?

1
我目前还没有找到任何东西,但显然已经有一个关于此的PR提交 - https://github.com/npm/npm/pull/20594 - UchihaItachi
太棒了,这只是时间问题。谢谢! - user857990
2个回答
66
1
“--production” 似乎已经被弃用,您应该使用“--omit=dev”代替。有关更多信息,请参见下面的答案 - Scott G
5

根据最近较新版的 npm 警告,应该使用 --omit=dev 而不是 --production

$ npm audit --production
npm WARN config production Use `--omit=dev` instead.

根据我的研究,从 npm v8.7.0 开始似乎已被弃用。我无法确认,但这个PR似乎是我研究中最相关的:https://github.com/npm/cli/pull/4744

通过查看PR的说明,可能你还应该指定--omit peer

1
根据文档显示,"npm audit会检查直接依赖、devDependencies、bundledDependencies和optionalDependencies,但不会检查peerDependencies。" 这意味着在这里使用 --omit=peer 不应该产生任何影响,因此也不是必需的。 - zcoop98
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接