Yarn Berry 中执行安全审计的正确方式

在 Yarn Berry（Yarn 2.0+版本）中执行依赖包安全审计时，开发者可能会遇到命令不识别的问题。本文将详细介绍如何在 Yarn Berry 中正确执行安全审计操作。

命令变更说明

从 Yarn 2.0（Berry）版本开始，原先在 Yarn 1.x 中直接使用的 yarn audit 命令已被重新组织到 npm 子命令下。现在正确的命令格式是：

yarn npm audit

这个变更反映了 Yarn Berry 对命令结构的重新设计，使其更加模块化和清晰。

忽略特定安全建议

在实际开发中，有时需要忽略某些特定的安全建议。Yarn Berry 提供了配置文件支持：

1. 在项目根目录创建或编辑 .yarnrc.yml 文件
2. 添加以下配置来忽略特定建议：

npmAuditIgnoreAdvisories:
  - 12345  # 要忽略的安全建议ID
  - 67890  # 另一个安全建议ID

版本兼容性说明

需要注意的是，此命令格式适用于 Yarn Berry 系列（2.0及以上版本）。如果你仍在使用 Yarn 1.x 经典版，则应继续使用传统的 yarn audit 命令。

最佳实践建议

1. 定期执行安全审计，建议在 CI/CD 流程中加入审计步骤
2. 对于必须忽略的安全建议，应在团队内讨论并记录原因
3. 考虑使用 yarn npm audit --json 获取机器可读的输出，便于自动化处理

通过以上方式，开发者可以充分利用 Yarn Berry 的安全审计功能，确保项目依赖的安全性。