我作为初级开发人员已经工作了将近一年,现在我正在处理一些更严肃的事情。
我已经为我的公司使用React构建了一个应用程序,最近我查看了react-scripts的各种子依赖关系,发现尽管NPM在执行两个npm audit时没有标记它们组件高度容易受到攻击。
dot-prop 4.2.0和open 6.4.0
我一直在寻找更新它们的方法,但是由于插入符号版本控制(它们是子依赖项),因此无法更新。
我的问题是:
如果我从未require这些组件,那么我的应用程序会面临风险吗?
执行npm run build时,它们是否以任何方式包含在最终代码中?
谢谢