在具有 bun.lock 文件的项目中运行命令:
bash
bun auditBun 将已安装的包和版本列表发送到 NPM,并打印发现的任何漏洞报告。从默认注册表以外的注册表安装的包将被跳过。
如果未发现漏洞,命令将打印:
No vulnerabilities found当检测到漏洞时,将列出每个受影响的包以及严重程度、简短描述和公告链接。在报告末尾,Bun 将打印摘要和更新提示:
3 vulnerabilities (1 high, 2 moderate)
To update all dependencies to the latest compatible versions:
bun update
To update all dependencies to the latest versions (including breaking changes):
bun update --latest过滤选项
--audit-level=<low|moderate|high|critical> - 仅显示此严重级别或更高的漏洞:
bash
bun audit --audit-level=high--prod - 仅审计生产依赖(排除 devDependencies):
bash
bun audit --prod--ignore <CVE> - 忽略特定的 CVE(可以多次使用):
bash
bun audit --ignore CVE-2022-25883 --ignore CVE-2023-26136--json
使用 --json 标志打印来自注册表的原始 JSON 响应,而不是格式化的报告:
bash
bun audit --json退出码
如果未发现漏洞,bun audit 将以代码 0 退出;如果报告列出任何漏洞,则以代码 1 退出。即使传递了 --json 也会发生这种情况。