在npm审核过程中如何忽略包？

Question

我的npm audit报告将手声台显示为“没有可用的修补程序”。

我试图通过运行npm audit --ignore handsontable或npm audit --ignore=handsontable来忽略npm audit --ignore handsontable包

这并不是无视这个方案。

在npm audit和npm audit fix期间是否有任何标志可以忽略某些包？

Answer 1

截至2022年9月21日，npm audit有两种过滤漏洞的方法：

• 审核--级别--为npm审核设置使用非零退出代码退出的最小漏洞级别。
• 省略-选择依赖类型(dev/prod)从磁盘上的安装树中省略。

您可以看到更多关于npm audit标志这里的信息。

目前还没有办法忽略特定的漏洞。我相信npm很快就会成功的，讨论仍在进行中。。

我建议您使用npm包better-npm-audit。链接这里。

您可以创建一个文件.nsprc，并通过ID、CWE或GHSA忽略漏洞，如下所示：

{
  "1337": {
    "active": true,
    "notes": "Ignored since we don't use xxx method",
    "expiry": 1615462134681
  },
  "4501": {
    "active": false,
    "notes": "Ignored since we don't use xxx method"
  },
  "CWE-471": "CWE ID is acceptable",
  "GHSA-ww39-953v-wcq6": "GHSA ID is acceptable",
  "https://npmjs.com/advisories/1213": "Full or partial URL is acceptable too"
}