При использовании диспетчера пакетов node.js, такого как npm или yarn, для извлечения наших любимых пакетов, мы, как правило, имеем много вложенных зависимостей (библиотек библиотек). Каждый раз, когда мы выполняем новую установку пакета, мы обычно получаем разные версии вложенных пакетов. Любой из этих вложенных пакетов может иметь незначительное обновление, которое создает проблемы с безопасностью, или сам по себе является вредоносным ПО. Например: команда webpack могла проверить..