Depende un poco del tipo de proyecto. Yo creo que si es un proyecto propio, el cual le puedas prestar la debida atención, puede ser una opción hacer el npm audit fix --force. Luego verificar si algo se ha roto, en cuyo caso habría que tomar en consideración el tiempo necesario para repararlo.
Si fuera el proyecto de un cliente me lo pensaría un poco más, porque pueden romperse cosas que luego sería tu responsabilidad arreglar. Si me pagan para hacer las actualizaciones del software entonces las hago, si no me pagan, mejor no tocar nada que si lo rompes van a reclamar. Pero esto es solamente desde un punto de vista "egoista", porque realmente siempre es una buena idea actualizar las dependencias.
Miguel Angel
3160
141
210
17