React native React Native-如何创建正确的依赖项检查/漏洞报告并进行处理？

如何为react本机应用程序正确创建依赖项检查（漏洞报告）

如果我运行“npm安装”，则会自动显示“npm审核”的信息。对于以下示例，我使用了使用RN 0.63.2创建的带有React Native CLI的新项目

“npm审计”仅显示3个低漏洞（节点获取）：

Retire.js不提供任何漏洞（可能配置错误，仍在努力解决）

然而，使用jeremylong（）的DependencyCheck，它给出了72个易受攻击的依赖项中的132个漏洞。摘录：

Scan Information (show all):
 dependency-check version: 6.0.1
 Report Generated On: Sun, 20 Sep 2020 22:25:28 +0200
 Dependencies Scanned: 15319 (11276 unique)
 Vulnerable Dependencies: 72
 Vulnerabilities Found: 132
 Vulnerabilities Suppressed: 0
 ...

看起来DependencyCheck汇总了多个analyzer报告，因此可能会发现比以前的工具更多的漏洞，但我仍然想知道数量（132个漏洞，而只有3个）。“npm审计”是否能够更好地检查这些漏洞是否对RN有效？或者，如果这些漏洞适用于我的React本机应用程序，我是否必须手动检查所有这些漏洞并修复它们（如果可能）？ 说到这里，我已经有了另一个问题：一些易受攻击的依赖项来自react native cli。我在任何地方都找不到它，但它不应该包含在生产应用程序中，因为它是开发过程中使用的命令行解释器工具，不是吗？是否有任何文档（我找不到任何文档）提示哪些依赖项仅适用于开发人员，而不会用于生产

---

任何帮助都将不胜感激。

请回答我自己的问题：

jeremylong的工具依赖性检查收集了库名称与漏洞中包含的字符串匹配的所有漏洞。例如，工具列出了“@hapi/address:2.1.4”，但它不在NPM打印的依赖关系图中。但是有“哈皮克斯”。这种情况发生了很多次，唯一相关的发现是npm已经通过“npm审计”确定的发现

所以所有其他的都是简单的“假阳性”，但不幸的是，它们必须一个接一个地检查