Вызовы методов трассировки в приложении для оценки уязвимости безопасности к CVE — лучшие практики?

Я работал над тем, чтобы помочь справиться с обновлениями пакетов и рефакторингом некоторых приложений для устранения CVE безопасности. Часто CVE возникают из-за какого-то уязвимого метода/функции, и если мы можем доказать, что указанный метод/функции не вызываются в приложении, то я могу игнорировать это как ложное срабатывание.

Мой вопрос/просьба таковы: есть ли у кого-нибудь рекомендации/ресурсы о том, как правильно отслеживать использование уязвимого метода/функции через приложение (из node_modules через код src)? Пожалуйста, не предлагайте менять версию NodeJS, это неприменимо в данной ситуации.

• Что мне порекомендовали: бывший коллега порекомендовал начать с рассматриваемого метода и того места, где он был впервые вызван. Они сказали отметить функции внутри node_modules, в которых используется уязвимый метод, и перейти оттуда, чтобы увидеть, где используются все эти функции. Затем найдите, если/где в исходном коде вызывается каждая из функций, найденных в node_modules. Если вызывается какая-либо из этих функций, результат НЕ МОЖЕТ быть ложноположительным.

  • Я обнаружил, что это сложно и очень громоздко с приложениями с многочисленными пакетами и/или множеством вложенных зависимостей. Если способ, который мне рекомендовали для отслеживания уязвимых методов, является хорошей практикой, это здорово! Но я надеюсь увидеть, есть ли у других членов сообщества советы/рекомендации/лучшие практики, которые можно порекомендовать.