Мы сертифицируем один node.js закрытый npm пакет, который будет использоваться в нескольких приложениях. Это генератор псевдослучайных чисел, и наш орган по сертификации требует наличия контрольной суммы двоичного файла, который развернут в программном обеспечении, и / или контрольной суммы исходного кода. Поскольку пакет npm не является двоичным, мы можем предоставить только контрольную сумму исходного кода (пакет npm). Каков наилучший сценарий для предоставления им контрольной суммы и метода проверки контрольной суммы пакета в развернутых приложениях? Нам нужен вариант, если придет какое-то государственное учреждение, чтобы мы могли предоставить им средства для проверки контрольной суммы пакета, развернутого в этом приложении.