Hay varias vulnerabilidades que me llamaron la atención.
En el caso de Command Injection in git-commit-info (npm) https://security.snyk.io/vuln/SNYK-JS-GITCOMMITINFO-5740174 Veo que la complejidad de lo que hace es muy sencilla pero el daño es crítico.
Lo que deja bien claro que, al estar comúnmente instalando dependencias de terceros, estamos abriendo puertas a los errores de vulnerabilidad que otros pueden cometer.