dependencies 这玩意儿真的不能乱引啊... 最近 review 代码的时候发现有人偷偷加了个不明来源的 npm 包，吓得我赶紧查了一下，结果还真是个带后门的 安全扫描一跑，直接报了一堆 warn。现在团队里都开始互相提醒了，拉新包之前必须先扫一遍，不然哪天被 XSS 了都不知道咋回事 ‍ 大家有没有啥好用的安全检查工具推荐呀？