bun.lock ファイルを持つプロジェクトでコマンドを実行します。

bun audit

Bun はインストールされたパッケージとバージョンのリストを NPM に送信し、見つかった脆弱性のレポートを出力します。デフォルトレジストリ以外のレジストリからインストールされたパッケージはスキップされます。

脆弱性が見つからない場合、コマンドは以下を出力します。

No vulnerabilities found

脆弱性が検出された場合、影響を受ける各パッケージが重大度、簡単な説明、およびアドバイザリへのリンクと共にリストされます。レポートの最後に、Bun は要約と更新のヒントを出力します。

3 vulnerabilities (1 high, 2 moderate)
To update all dependencies to the latest compatible versions:
  bun update
To update all dependencies to the latest versions (including breaking changes):
  bun update --latest

フィルタリングオプション

--audit-level=<low|moderate|high|critical> - この重大度レベル以上の脆弱性のみを表示します。

bun audit --audit-level=high

--prod - 本番依存関係のみを監査します（devDependencies を除外）。

bun audit --prod

--ignore <CVE> - 特定の CVE を無視します（複数回使用できます）。

bun audit --ignore CVE-2022-25883 --ignore CVE-2023-26136

--json

--json フラグを使用して、フォーマットされたレポートの代わりにレジストリからの生の JSON レスポンスを出力します。

bun audit --json

終了コード

bun audit は、脆弱性が見つからない場合はコード 0 で終了し、レポートに脆弱性がリストされている場合は 1 で終了します。これは --json が渡された場合でも発生します。