package.jsonのdependenciesやpnpm.overridesでキャレット(^)を使うと、将来のinstallで悪意のあるpatchバージョンが自動で入る余地が残る。実際にaxios 1.14.1/0.30.4がnpmサプライチェーン侵害(メンテナアカウント乗っ取り)で改ざんされた事例がある。内部的なアップデートによる機能不全や侵害リスクを防ぐため、重要依存は実バージョンに完全pin(例: "axios": "1.16.0")して自動アップデート経路を塙ぐ。