Запускайте npm audit / эквивалент в CI с порогом severity; для критичных CVE без патча планируйте замену пакета, а не вечное --force.
Lockfile обязателен к коммиту: воспроизводимые сборки важнее «последней минорной версии» на каждом запуске.
- [npm audit documentation](https://docs.npmjs.com/cli/v10/commands/npm-audit) — Официальная справка npm.
---
## Организация
Разделите devDependencies и runtime — сканирование прод-артефакта должно отражать то, что реально уезжает на CDN.
Ведите allowlist с обоснованием для исключений и датой пересмотра; иначе список «временных» открытий разрастается на годы.