npm audit escanea las dependencias del proyecto en busca de vulnerabilidades conocidas. Es la primera línea de defensa contra paquetes comprometidos.
Uso básico
npm audit lista vulnerabilidades por severidad (critical, high, moderate, low). Muestra ruta de dependencia, versión vulnerable y versión corregida.
npm audit fix
npm audit fix --force actualiza a la versión corregida. --force puede cambiar versiones major (puede romper cosas).
Alternativas
Snyk: escaneo continuo, PRs automáticos de fix. Dependabot: PRs automáticos en GitHub. socket.dev: análisis de comportamiento de paquetes.
Buenas prácticas
Ejecuta npm audit en CI. Revisa dependencias directas, no solo transitivas. Usa package-lock.json para versiones reproducibles. Overrides para forzar versiones.

