https://overreacted.io/npm-audit-broken-by-design/

devDependenciesとして使うツールにおけるnpm auditの報告がReDoSの脆弱性になってしまっている問題について。 本番で動くdependenciesのみをチェックするnpm audit --production、公開するパッケージをインライン化する方法とその問題、エコシステムへの問題提起的な記事