Не претендую на истину в последней инстанции, но из моего опыта следует:
Gulp уже достаточно давно не обновляется, на сайте npm видно. Вряд ли этот вопрос уязвимостей как-то решается. Я уже не первый раз сталкиваюсь с подобной историей, не только с галпом. Раньше такого кол-ва уязвимостей же не было, они появляются со временем, когда пакет перестаёт обновлятся. Здесь он зависит от уязвимых, тоже устаревших версий других пакетов. Короче говоря, обычная несовместимость версий и отсутсвие поддержки пакетов в актуальном состоянии. Этот вопрос, насколько я могу судить, должны решать разработчики пакета.
npm audit fix --force
устанавливает новые версии зависимостей, и это действительно решает вопрос с небольшим количеством уязвимостей.
Но в случае с галпом, на днях его ставила - уязвимостей меньше не стало, зато часть высоких превратилась в критические))
