Нет алгоритма.Только люди.
Аудит npm проверяет, какой пакет вы используете и какую версию, и сравнивает его с базой данных уязвимостей npm.Вот веб-интерфейс к этой базе данных: https://www.npmjs.com/advisories
Если вы нажмете на любую из «проблем», вы увидите 3 фрагмента информации: описание проблемы, рекомендуемое исправление и ссылку, где проблема
Относительно того, как npm определяет серьезность проблемы, это не так.Люди определяют серьезность проблем.
И почти все это делается добровольцами.Это одно из обещаний с открытым исходным кодом: при достаточном внимании к вашему скрытому коду ошибки могут быть обнаружены.