npm audit対応では、まずdirect dependencyを修正版へ上げ、transitive脆弱性はnpm overridesで脆弱範囲ごとに固定する。override後はnpm lsでinvalidな依存解決が出ていないか確認する。defaultのnpm auditにdev dependency由来の低severityが残る場合でも、npm audit --omit=devで本番依存が0件かを確認すると、リリースリスクと開発ツール由来の上流待ちリスクを分離して説明できる。