Al verificar las bibliotecas de terceros utilizadas en los archivos package.json
y build.gradle
con herramientas como Snyk , permiten la opción de verificar devdependencias. Muchas veces hay vulnerabilidades para estas dependencias. Pero si no se envían y solo se utilizan para pruebas, ¿existe algún riesgo si no se actualizan?
Este blog de Snyk dice que "las dependencias de los desarrolladores son poco importantes". Así que estoy buscando confirmación de que este sea el caso, ya que no están probados de forma predeterminada.