Quando controlli librerie di terze parti usate in package.json
e build.gradle
file con strumenti come Snyk , permettono l'opzione di controllare devdependencies. Un sacco di tempo ci sono vulnerabilità per queste dipendenze. Ma se non vengono spediti e usati solo per i test, c'è qualche rischio che non li si aggiorni?
Questo blog Snyk dice che "le dipendenze degli sviluppatori contano poco". Quindi sto cercando la conferma che questo è il caso, in quanto non sono testati di default.