安全问题有好多，解决是解决了，但是不知道会不会和项目又不一样的地方，还有正常开发时，或者做开源项目时遇到这种状况应该怎么办？
这就是大家诟病npm的地方吗？是yarn、deno出现的原因之一？
还有yarn除了resolutions还针对npm解决了什么问题？
望老师解答下。

我的总体操作是

1. 从npm换到了yarn
2. 删除了travis-deploy-once依赖。

关于几个vulnerability

high好像是sematic-release依赖中npm的安全问题
Security Vulnerability in “tar” #1147
后来换了yarn安装并升级一些依赖包解决了，还有一个是moderate的marked版本，使用yarn的resolutions解决了

还有几个warn

其中jest和typedoc的会在下个版本解决

而

travis-deploy-once 好像已经deprecated，推荐使用Travis Build Stage,这个好像直接是直接把.travis.yml放到仓库然后在travis网上配置一下就行？

底下的warning是这个polyfill还可以使用的意思吧？
下面给的推荐操作是需要travis-deploy-once这个包的开发者引入的意思？我们可以进行的操作就是fork然后进行修改吧？

travis-deploy-once > @babel/polyfill@7.4.4: � As of Babel 7.4.0, this
package has been deprecated in favor of directly
including core-js/stable (to polyfill ECMAScript
features) and regenerator-runtime/runtime
(needed to use transpiled generator functions):

  > import "core-js/stable";
  > import "regenerator-runtime/runtime";

希望老师解答，谢谢！