如何在 npm 审核期间忽略包？

Question

我的npm audit报告显示handsontable为“没有可用的修复”。

我试图通过运行或忽略可操作的包npm audit --ignore handsontablenpm audit --ignore=handsontable

它并没有忽略这个包。

是否有任何标志可以在npm audit和期间忽略某些包npm audit fix

Answer 1

截至今天，即 2022 年 9 月 21 日，npm audit有 2 种过滤漏洞的方法：

• 审核级别- 设置 npm 审核以非零退出代码退出的最低漏洞级别。
• omit - 选择要从磁盘上的安装树中忽略的依赖项类型（dev/prod）。

您可以在此处查看有关npm audit标志的更多信息。

目前还没有办法忽略特定的漏洞。相信npm很快就会有，讨论还在进行中。

我建议您使用 npm 包better-npm-audit。链接在这里。

您可以创建文件.nsprc并通过 ID、CWE ID 或 GHSA ID 忽略漏洞，如下所示：

{
  "1337": {
    "active": true,
    "notes": "Ignored since we don't use xxx method",
    "expiry": 1615462134681
  },
  "4501": {
    "active": false,
    "notes": "Ignored since we don't use xxx method"
  },
  "CWE-471": "CWE ID is acceptable",
  "GHSA-ww39-953v-wcq6": "GHSA ID is acceptable",
  "https://npmjs.com/advisories/1213": "Full or partial URL is acceptable too"
}