Я работаю младшим разработчиком почти 1 год, и сейчас я перехожу к более серьезным вещам.
Я создал приложение для React для своей компании, и недавно я смотрел на различные подчиненные зависимости react-scripts и обнаружили, что, хотя NPM не помечает их при выполнении npm audit, два компонента очень уязвимы.
dot-prop 4.2.0 и open 6.4.0
Я искал способы их обновления, но они не могут быть обновлены из-за контроля версий карет (они являются зависимостями).
Мой вопрос: если я никогда require эти компоненты, мое приложение находится в опасности? При выполнении npm run build они каким-либо образом включены в окончательный код?
Спасибо