npm audit и CI: цепочка поставок фронтенда без «зелёного build и красного прод»
Политика обновлений, lockfile, SBOM и блокирующие уровни уязвимостей в пайплайне.
Запускайте `npm audit` / эквивалент в CI с порогом severity; для критичных CVE без патча планируйте замену пакета, а не вечное `--force`.
Lockfile обязателен к коммиту: воспроизводимые сборки важнее «последней минорной версии» на каждом запуске.
- npm audit documentation — Официальная справка npm.
Организация
Разделите devDependencies и runtime — сканирование прод-артефакта должно отражать то, что реально уезжает на CDN.
Ведите allowlist с обоснованием для исключений и датой пересмотра; иначе список «временных» открытий разрастается на годы.