安全性

审计

运行 yarn install 时，Yarn 不会默认运行审计，因为这应该在 cron 任务中执行。但是，你可以通过运行 yarn npm audit 来随时执行审计。

信息

我们的实现与 npm 实现有几个不同之处。与大多数其他 Yarn 命令一样，yarn npm audit默认情况下，只适用于当前工作空间的直接依赖项。要获得整个项目的报告，请使用 -A,--all 和/或 -R,--recursive 标志。

提示

您可以通过使用 --environment production 运行命令，从报告中排除您的 devDependencies（及其传递依赖项）。

强化模式

可以使用 enableHardenedMode 设置或通过在环境变量中定义 YARN_ENABLE_HARDENED_MODE=1|0 来设置（或禁用）强化模式，但在大多数情况下，您甚至不必考虑它 - 当 Yarn 检测到它在来自公共 GitHub 存储库的拉取请求中运行时，默认情况下会启用强化模式。

在此模式下，Yarn 将在运行 yarn install 时自动启用 --check-resolutions 和 --refresh-lockfile 标志，这应保护您免受大多数由 锁定文件中毒 引起的攻击，代价是安装速度稍慢。

危险

强化模式会显著降低安装速度，因为 Yarn 必须查询注册表以确保锁定文件中包含的信息准确无误。如果你的 CI 管道运行多个作业，我们建议在除一个作业之外的所有作业中禁用强化模式，以限制性能影响。