A versão mais recente do Nodemon na versão mais recente do Node.js faz com que um aviso de descontinuação seja registrado ao iniciar.
Isso está relacionado ao Nodemon e não ao meu script de início, porque quando executo npm start
diretamente (não via Nodemon), nenhum aviso de depreciação é registrado.
nodemon -v
: 1.18.5node -v
: 11.0.0{
"watch": "nodemon",
"start": "node --experimental-modules --no-warnings -r dotenv/config server"
}
npm run watch
md5-5c7f483fc44346d27a37182ef5f13bdb
[DEP0106] DeprecationWarning: crypto.createDecipher is deprecated.
Use as versões Nodemon e Node.js conforme especificado acima.
Se aplicável, anexe o sinalizador --dump
em seu comando e inclua a saída aqui , garantindo a remoção de todos os detalhes ou tokens confidenciais/pessoais .
Tentei adicionar --trace-deprecations
ao meu script de início, mas não tem efeito, pois o aviso de depreciação é acionado pelo código (ou dependências) do Nodemon que é executado antes do script de início.
Se você tentar o nodemon com um index.js simples, ainda receberá o aviso?
ou seja.
echo "" > index.js
nodemon index.js
Sim:
Na verdade, eu também tenho o problema.
node index.js
=> sem aviso
nodemon index.js
=> recebeu o aviso
O mesmo problema,
nodemon
versão: 1.18.6
Segue o rastreamento:
> nodemon index.js
(node:27294) [DEP0106] DeprecationWarning: crypto.createDecipher is deprecated.
at [redacted]/node_modules/flatmap-stream/index.min.js:1:1264
at Object.<anonymous> ([redacted]/node_modules/flatmap-stream/index.min.js:1:1423)
at Module._compile (internal/modules/cjs/loader.js:707:30)
at Object.Module._extensions..js (internal/modules/cjs/loader.js:718:10)
at Module.load (internal/modules/cjs/loader.js:605:32)
at tryModuleLoad (internal/modules/cjs/loader.js:544:12)
at Function.Module._load (internal/modules/cjs/loader.js:536:3)
at Module.require (internal/modules/cjs/loader.js:643:17)
at require (internal/modules/cjs/helpers.js:22:18)
at Object.<anonymous> ([redacted]/node_modules/event-stream/index.js:11:15)
E dá uma volta completa... Acontece que é algum tipo de ataque de injeção.
https://github.com/dominictarr/event-stream/issues/116
Relacionado: https://github.com/remy/nodemon/issues/1451
Estou tentando lançar uma versão no nodemon, mas os testes não estão passando (um dos testes de integração está deixando um servidor em segundo plano em execução).
Dito isso, uma nova instalação do nodemon deve extrair [email protected]
que, se estiver causando esse aviso, deve estar limpo agora.
Alguém pode testar (e confirmar com npm ls pstree.remy
contra o nodemon install dif)?
Este problema foi resolvido pela versão pstree.remy
; o pacote infectado foi removido da árvore de dependências nodemon
. Obrigado!
Estou tentando lançar uma versão no nodemon, mas os testes não estão passando (um dos testes de integração está deixando um servidor em segundo plano em execução).
@remy feliz em saber que você falhou nos testes, as coisas definitivamente estão quebradas. Veja #1464.
@FallingSnow por pura curiosidade: a partir do rastreamento de pilha, como você descobriu que é um ataque de injeção? você começou a analisar os arquivos js e min.js?
Segue o rastreamento:
``` js
nodemon index.js
(nó:27294) [DEP0106] DeprecationWarning: crypto.createDecipher está obsoleto.
em [editado]/node_modules/flatmap-stream/index.min.js:1:1264
em Objeto.([editado]/node_modules/flatmap-stream/index.min.js:1:1423)
...
@piotrturski se você tiver esse rastreamento de pilha, suas dependências estão desatualizadas e o nodemon precisa de uma atualização.
@piotrturski Eu apenas segui os rastreamentos de pilha até encontrar um código muito estranho que parecia uma carga útil ofuscada.
Então, sim, eu analisei os arquivos js, veja https://github.com/dominictarr/event-stream/issues/116.
Comentários muito úteis
E dá uma volta completa... Acontece que é algum tipo de ataque de injeção.
https://github.com/dominictarr/event-stream/issues/116
Relacionado: https://github.com/remy/nodemon/issues/1451