", начиная с npm @ 6, новая команда, npm audit , рекурсивно анализирует ваши деревья зависимостей, чтобы конкретно определить, что небезопасно, рекомендует замену или автоматически исправляет ее с помощью npm audit fix."
Следовательно, обновление
nsp check
до
npm audit --audit-level high
Другие конфигурации и опции можно найти здесь
Обратите внимание, что флаг --audit-level high может работать только для версии NPM> v6.4.0 (читай v6.4.0-next.0 коммитов )
Настраиваемый уровень аудитадля ненулевого выхода npm в настоящее время завершает работу с кодом выхода 1, если обнаружены какие-либо уязвимости любого уровня.Добавлен флаг --audit-level к npm audit, чтобы он мог пройти, если обнаружены только уязвимости ниже определенного уровня.
Пример: npm audit --audit-level=high выйдет с 0, если обнаружены только вульны низкого или среднего уровня.
Документы NPM: https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities
Официальный блог: https://blog.npmjs.org/post/175511531085/the-node-security-platform-service-is-shutting
Обновления об игнорировании рекомендаций по безопасности
Доступны пакеты NPM для расширения возможностей новой команды npm-audit(например, игнорирование некоторых рекомендаций), например: