Führen Sie den Befehl in einem Projekt mit einer bun.lock-Datei aus:
bun auditBun sendet die Liste der installierten Pakete und Versionen an NPM und gibt einen Bericht über alle gefundenen Sicherheitslücken aus. Pakete, die von anderen Registries als der Standard-Registry installiert wurden, werden übersprungen.
Wenn keine Sicherheitslücken gefunden werden, gibt der Befehl aus:
No vulnerabilities foundWenn Sicherheitslücken erkannt werden, wird jedes betroffene Paket zusammen mit dem Schweregrad, einer kurzen Beschreibung und einem Link zum Advisory aufgeführt. Am Ende des Berichts gibt Bun eine Zusammenfassung und Hinweise zur Aktualisierung aus:
3 vulnerabilities (1 high, 2 moderate)
To update all dependencies to the latest compatible versions:
bun update
To update all dependencies to the latest versions (including breaking changes):
bun update --latestFilteroptionen
--audit-level=<low|moderate|high|critical> - Zeigt nur Sicherheitslücken ab diesem Schweregrad oder höher an:
bun audit --audit-level=high--prod - Überprüft nur Produktionsabhängigkeiten (schließt devDependencies aus):
bun audit --prod--ignore <CVE> - Ignoriert bestimmte CVEs (kann mehrfach verwendet werden):
bun audit --ignore CVE-2022-25883 --ignore CVE-2023-26136--json
Verwenden Sie das --json-Flag, um die rohe JSON-Antwort von der Registry anstelle des formatierten Berichts auszugeben:
bun audit --jsonExit-Code
bun audit beendet mit Code 0, wenn keine Sicherheitslücken gefunden werden, und mit 1, wenn der Bericht Sicherheitslücken auflistet. Dies geschieht auch, wenn --json übergeben wird.