Ищу способ аудита зависимостей на предмет уязвимостей в Yarn 2. В Yarn 1.x можно было то же самое, что и в npm, запустив yarn audit вместо npm audit. Но с Yarn 2 такой команды нет. И согласно этой проблеме на berry github, она не будет реализована (мейнтейнеры проекта предпочитаю, чтобы это было сделано через плагин).
Я пытался запустить npm install --package-lock-only && npm audit, но установка блокирует некоторые из моих локальных пакетов (которые я перечисляю в package.json, используя тип URL-адреса link:).
Это не было бы сложным плагином для создания, и я готов немного повеселиться, но это не было бы так весело, как просто установить что-то, а затем заниматься своими делами. Я огляделся, но всегда оказываюсь в одной и той же паре репозиториев vapoourware/brokenware.
Но я все еще предполагаю, что я просто не нахожу их. Или есть недокументированный трюк для упрощения. Отсюда мой вопрос :)
PS, да, я могу временно удалить локальные пакеты, используя link:, пока я запускаю команды npm install и npm audit выше, но это не совсем то, что я хочу попробовать и автоматизировать для CI.
