Tach!
Wer externe Libraries (insbesondere NPM-Pakete!) in sein Projekt lutscht, muss meiner Meinung nach bereit sein dafür auch die Haftung zu tragen.
Ganz heikles Thema, solange die gesetzliche Grundlage fehlt, dass jeder Hersteller von Sicherheitslücken dafür gradezustehen hat. Das würde aber auch die Software vermutlich deutlich teurer machen.
Warum sonst sollte man sie sonst verwenden wollen? Es ist eben eine Abschätzungsfrage: Will ich das alles selbst programmieren, oder nehme ich gratis die Leistung anderer in Anspruch, eventuell gar ohne sie genauer zu prüfen?
Es muss ja nicht mal gratis sein. Es gibt auch genügend Hersteller von Librarys, die Geld für ihre Arbeit nehmen.
Alles selber zu machen ist nicht schaffbar. Dann müsste man konsequenterweise auch alle Tools bis hin zum Betriebssystem selbst schreiben. Oder zumindest selbst kontrollieren. Soviel Aufwand kann man sich weder zeitlich noch finanziell leisten.
dedlfix.