если я запускаю приложение create-response-app, оно построено из пряжи

Чтобы понять ваш вопрос, у вас установлены и yarn, и npm.

1. create-response-app использует пряжу для установки, если она установлена. Yarn также является инициативой Facebook, поэтому создатели реактивных приложений предпочитают больше полагаться на пряжу или, скорее, на продукты, инициированные Facebook, и первоначально также считалось, что она более безопасна, чем npm, и имеет более высокую производительность.
2. Рад, что вы отметили --use-npm, чтобы вы всегда могли указать, что вы хотите использовать при замене пряжи.
3. Что касается того, что вы раньше не использовали yarn, не беспокойтесь, изучите новый инструмент, потому что Yarn черпал вдохновение поверх npm, поэтому команды cli не за горами.
4. Что касается уязвимостей, позвольте мне указать на зависимости пакетов. С npm, очевидно, начиная с версии 6, при запуске нового проекта это всегда было проблемой. Лучше всего провести аудит ваших пакетов и найти зависимости и устранить или уменьшить эти уязвимости, либо перейдя к конкретным требуемым версиям, либо к @latest. Также стоит проверить версию вашего узла, некоторые разработчики в Интернете говорят, что старые версии более стабильны и часто уязвимости находятся в сценариях реакции, которые являются частью процесса сборки. Кроме того, помните, что вы будете запускать предустановленные шаблоны, поэтому действительно стоит проверить также аудит npm или пряжу почему. Также сделайте либо npm outdated, либо yarn outdated, чтобы вы могли правильно оценить состояние.

Удачного путешествия по пряже !!!