Ha mencionado que su aplicación está escrita en JavaScript, y supongo que está hablando de JavaScript que se ejecuta en el navegador, y no en un servidor Node.js. Eso me deja sin saber si su aplicación tiene algún código del lado del servidor (por ejemplo, Servlets de Java, PHP, ASP.NET, Ruby, etc.).
Si no tiene ningún código del lado del servidor, su aplicación tiene un riesgo bastante bajo: hay muy poco que un atacante pueda obtener de atacarlo. No habrá ninguna base de datos, por lo que no habrá riesgo de inyección SQL. ¿Puedes explicar qué es lo que estás tratando de proteger? Por ejemplo, ¿hay alguna información confidencial manejada por la aplicación?
Este escáner de código abierto busca scripts de sitios cruzados basados en DOM, pero estoy No estoy seguro de lo fácil que sería configurar. También puede buscar en Google el "complemento de detección xss" para encontrar otros complementos del navegador que analicen aplicaciones web.
Si su aplicación tiene un código del lado del servidor, deje un comentario para decir en qué idioma es para que pueda sugerirle un escáner.
EDITAR: si lo entiendo correctamente, debe crear una aplicación web donde los usuarios puedan cargar la fuente de su aplicación, y su aplicación web les informará a los usuarios qué vulnerabilidades hay en su aplicación. La aplicación cargada a probar podría contener Javascript. Echa un vistazo a esta biblioteca , puede ayudarte a escanear Javascript en busca de vulnerabilidades de seguridad.