L’évaluation d’un package npm en 2026 nécessite une approche rigoureuse, car l’installation de dépendances tierces expose à des risques de sécurité majeurs, comme des attaques par la chaîne d’approvisionnement ou des paquets malveillants exploitant des hallucinations d’IA. L’auteur souligne que se fier aux téléchargements hebdomadaires ou aux étoiles GitHub est insuffisant, ces métriques ne reflétant ni la fiabilité ni les intentions réelles des mainteneurs. Les attaques récentes, comme Event-stream ou xz utils, illustrent comment des paquets légitimes peuvent être compromis, parfois via des dépendances indirectes ou des techniques comme le slopsquatting, où des noms de paquets générés par des IA sont enregistrés par des attaquants.

Pour limiter ces risques, le guide propose une méthode d’évaluation en cinq à dix minutes, centrée sur la nécessité réelle du paquet. Il recommande de questionner son utilité avant même d’analyser sa sécurité : un paquet superflu ou facilement remplaçable par quelques lignes de code interne réduit l’exposition aux vulnérabilités. L’auteur insiste aussi sur l’importance de vérifier l’absence de dépendances transitives suspectes et l’adéquation du paquet avec le contexte d’utilisation, afin d’éviter une propagation involontaire de risques dans l’écosystème du projet.