Запустите команду в проекте с файлом bun.lock:
bun auditBun отправляет список установленных пакетов и версий в NPM и выводит отчет о любых найденных уязвимостях. Пакеты, установленные из реестров, отличных от реестра по умолчанию, пропускаются.
Если уязвимости не найдены, команда выводит:
No vulnerabilities foundПри обнаружении уязвимостей каждый затронутый пакет перечисляется вместе с серьезностью, кратким описанием и ссылкой на рекомендацию. В конце отчета Bun выводит сводку и подсказки для обновления:
3 vulnerabilities (1 high, 2 moderate)
To update all dependencies to the latest compatible versions:
bun update
To update all dependencies to the latest versions (including breaking changes):
bun update --latestОпции фильтрации
--audit-level=<low|moderate|high|critical> — Показывать только уязвимости этого уровня серьезности или выше:
bun audit --audit-level=high--prod — Аудит только production-зависимостей (исключает devDependencies):
bun audit --prod--ignore <CVE> — Игнорировать конкретные CVE (можно использовать несколько раз):
bun audit --ignore CVE-2022-25883 --ignore CVE-2023-26136--json
Используйте флаг --json для вывода необработанного JSON-ответа из реестра вместо форматированного отчета:
bun audit --jsonКод выхода
bun audit завершится с кодом 0, если уязвимости не найдены, и 1, если отчет содержит какие-либо уязвимости. Это происходит даже при передаче --json.