¿Está bien no actualizar las dependencias?

Ellos importan. No actualizar bibliotecas y dependencias dejará su software vulnerable. Cada una de las bibliotecas es parte de la superficie de ataque.

A menos que una actualización rompa su código, actualice tan pronto como la actualización esté disponible. Si la actualización rompe su código, parche el código y actualice. Pero nunca deje una biblioteca obsoleta con errores de seguridad en sus proyectos. Incluso si se utiliza sólo para el desarrollo. Si un día te olvidas de deshabilitarlos, estás en peligro.

Eso depende de qué son las dependencias y para qué se usan.

Incluso si no se usa una dependencia en producción, si se usa como parte de su proceso de compilación, por ejemplo, es posible que contenga una vulnerabilidad que afecte su código de producción.

De manera similar, una vulnerabilidad en una herramienta de desarrollo podría potencialmente permitir a los atacantes comprometer su PC de desarrollo si esa herramienta procesa datos de entrada que no son de confianza o se conecta a servidores remotos.

Entonces, si bien puede ser cierto que las "vulnerabilidades" de la mayoría en las dependencias de desarrollo no tienen un impacto de seguridad notable, a menos que esté evaluando manualmente cada vulnerabilidad identificada para determinar su impacto en su proyecto Probablemente es mejor mantener todo actualizado. Hay pocos inconvenientes, y las versiones más recientes de las herramientas de desarrollo generalmente tienen muchos otros beneficios además de una mejor seguridad.