React , y es el script de creación de la aplicación, create-react-app , son paquetes populares en la actualidad ... y por una buena razón: React es un marco de estrella de rock.
Desde una perspectiva de seguridad, la limpieza de todos los paquetes que create-react-app instala parece ser una tarea enorme.
Acabo de hacer un recuento rápido de los paquetes instalados, ingresando npm ls en la línea de comandos de mi página de instalación, ¡y conté 2226 paquetes! : O Además, eso fue solo paquetes locales, y no incluye global.
¿Cómo se desinfecta adecuadamente este enorme árbol de paquetes?
Supongo que hay una pregunta mayor aquí, sobre cómo escanear los paquetes npm-instalados y sus dependencias.
¿Tiene sentido ejecutar todos y cada uno de estos paquetes a través de un escáner?