最近我们的项目升级了 pnpm 11,在维护项目依赖的时候我看了下 pnpm audit --fix 会怎么修漏洞。pnpm audit 本身很好理解,它会检查 lockfile 里的依赖是否命中了已知漏洞。但到了执行 --fix 这一步,事情就开始变得有点微妙了。
最近我们的项目升级了 pnpm 11,在维护项目依赖的时候我看了下 pnpm audit --fix 会怎么修漏洞。pnpm audit 本身很好理解,它会检查 lockfile 里的依赖是否命中了已知漏洞。但到了执行 --fix 这一步,事情就开始变得有点微妙了。