Exécutez la commande dans un projet avec un fichier bun.lock :
bun auditBun envoie la liste des packages installés et des versions à NPM, et affiche un rapport de toutes les vulnérabilités trouvées. Les packages installés depuis des registres autres que le registre par défaut sont ignorés.
Si aucune vulnérabilité n'est trouvée, la commande affiche :
No vulnerabilities foundLorsque des vulnérabilités sont détectées, chaque package affecté est listé avec la gravité, une courte description et un lien vers l'avis. À la fin du rapport, Bun affiche un résumé et des indices pour la mise à jour :
3 vulnerabilities (1 high, 2 moderate)
To update all dependencies to the latest compatible versions:
bun update
To update all dependencies to the latest versions (including breaking changes):
bun update --latestOptions de filtrage
--audit-level=<low|moderate|high|critical> - Afficher uniquement les vulnérabilités à ce niveau de gravité ou supérieur :
bun audit --audit-level=high--prod - Auditer uniquement les dépendances de production (exclut devDependencies) :
bun audit --prod--ignore <CVE> - Ignorer des CVE spécifiques (peut être utilisé plusieurs fois) :
bun audit --ignore CVE-2022-25883 --ignore CVE-2023-26136--json
Utilisez le drapeau --json pour afficher la réponse JSON brute du registre au lieu du rapport formaté :
bun audit --jsonCode de sortie
bun audit se terminera avec le code 0 si aucune vulnérabilité n'est trouvée et 1 si le rapport liste des vulnérabilités. Cela se produit même si --json est passé.