Discordo. Se as dependencias no package.json estiver bem escrito, o npm install não irá fazer alterações (significativas).

Costumo deixar minhas dependências apenas com tolerância aos patches, assim não há quebra de funcionalidade.

Porém há sim o risco de algum pacote na cadeia inserir uma breaking change em um patch, o que não é correto mas é possível.

Concordo com vc. Quantos projetos por aí o pessoal não se preocupa em setar atualizações apenas nas versões hotfix e minor.
O projema são alguns projetos que sismam em quebrar/remover certas coisas mesmo em versões minor, as vezes quebrando o projeto.
Nesse segundo caso, ia quebrar tanto pra um quanto pra outro.

Discordo. Se as dependencias no package.json estiver bem escrito, o npm install não irá fazer alterações (significativas). Costumo deixar minhas dependências apenas com tolerância aos pat...