Реагирующее нативное приложение должно быть отсканировано с помощью кода JavaScript или сгенерированного Java?

Мы разрабатываем мобильный, реагируя на родную. Разработчики пишут javascript, а React Native генерирует java-код из этих javascript.

У нас есть процесс сканирования кода безопасности Checkmarx в процессе SDLC. Должен ли я попросить разработчиков отсканировать и исправить оба источника: javascript и java? или просто JavaScript, который они написали? или просто сгенерированный Java-источник?

Некоторые разработчики говорили мне, что checkmarx создает два разных типа предупреждений безопасности в javascript и java.

Спасибо за совет.

Генри