Hai menzionato che la tua app è scritta in JavaScript e presumo che tu stia parlando di JavaScript che viene eseguito nel browser e non in un server Node.js. Ciò mi lascia insicuro se la tua app ha un codice lato server (ad es. Java Servlet, PHP, ASP.NET, Ruby, ecc.).
Se non hai alcun codice lato server, la tua app ha un rischio piuttosto basso: c'è molto poco che un attacker possa ottenere dall'attaccarlo. Non ci sarà alcun database, quindi non ci sarà il rischio di SQL injection. Puoi approfondire ciò che stai cercando di proteggere? Ad esempio, ci sono informazioni riservate gestite dall'app?
Questo scanner open source cerca lo scripting cross-site basato su DOM, ma io sono non sono sicuro di quanto sarebbe facile da configurare. Puoi anche cercare su Google "plugin di rilevamento xss" per trovare altri plug-in del browser che eseguono la scansione delle app Web.
Se la tua app ha un codice lato server, lascia un commento per dire che lingua è, quindi posso suggerire uno scanner per questo.
MODIFICA: se ho capito bene, è necessario creare un'app Web in cui gli utenti possano caricare la fonte per la propria app e l'app Web comunicherà agli utenti quali sono le vulnerabilità nella propria app. L'app caricata da testare potrebbe contenere Javascript. Dai un'occhiata a questa libreria , potrebbe aiutarti a scansionare Javascript per le vulnerabilità della sicurezza.