Ищу способ аудита зависимостей на предмет уязвимостей в Yarn 2. В Yarn 1.x можно было то же самое, что и в npm
, запустив yarn audit
вместо npm audit
. Но с Yarn 2 такой команды нет. И согласно этой проблеме на berry github, она не будет реализована (мейнтейнеры проекта предпочитаю, чтобы это было сделано через плагин).
Я пытался запустить npm install --package-lock-only && npm audit
, но установка блокирует некоторые из моих локальных пакетов (которые я перечисляю в package.json, используя тип URL-адреса link:
).
Это не было бы сложным плагином для создания, и я готов немного повеселиться, но это не было бы так весело, как просто установить что-то, а затем заниматься своими делами. Я огляделся, но всегда оказываюсь в одной и той же паре репозиториев vapoourware/brokenware.
Но я все еще предполагаю, что я просто не нахожу их. Или есть недокументированный трюк для упрощения. Отсюда мой вопрос :)
PS, да, я могу временно удалить локальные пакеты, используя link:
, пока я запускаю команды npm install
и npm audit
выше, но это не совсем то, что я хочу попробовать и автоматизировать для CI.