npm audit (и Github) обнаруживают эту уязвимость:
# Run npm update macaddress --depth 5 to resolve 1 vulnerability
Critical Command Injection
Package macaddress
Dependency of css-loader [dev]
Path css-loader > cssnano > postcss-filter-plugins > uniqid >
macaddress
More info https://nodesecurity.io/advisories/654
Мало того, что yarn audit не находит эту уязвимость, yarn why не знает о такой зависимости:
> yarn why macaddress
yarn why v1.12.3
[1/4] Why do we have the module "macaddress"...?
[2/4] Initialising dependency graph...
[3/4] Finding dependency...
error We couldn't find a match!
Done in 0.66s
Он также не находит uniqid, однако он находит postcss-filter-plugins.
Может кто-нибудь объяснить, почему yarn и npm, похоже, имеют другое представление о том, что находится в зависимостидерево?