Совсем недавно npm audit был представлен .Я тестировал snyk 2-3 года назад, не могу ничего положительного или отрицательного для текущего состояния.Есть и другие инструменты, а также способы обнаружения уязвимых пакетов.Я бы посоветовал посмотреть выступление Джаррода Оверсона " Анализ эксплуатируемого пакета NPM ".Полезно просто понимать, что всегда есть способы использовать репозитории пакетов, особенно с открытым исходным кодом:)