Entre cet article et l'autre que tu postes sur un paquet npm théorique qui permettrait de récupérer plein de mots de passe, il y a un point commun : le fait d'exposer publiquement le code source d'un service en guise de preuve de bonne foi, alors que le code qui tourne réellement est différent. Peut-être qu'il faudrait une solution pour permettre de certifier qu'un code source est équivalent à la version déployée / packagée. Ça risque d'être non trivial voire très difficile à cause des éventuelles opérations destructives de compilation ou de minification, mais j'ai l'impression que ça va aussi devenir indispensable : relire le code source de tout ce qu'on utilise n'est pas une alternative réaliste.