Последняя версия Nodemon в последней версии Node.js приводит к регистрации предупреждения об устаревании при запуске.
Это относится к Nodemon, а не к моему сценарию запуска, потому что, когда я запускаю npm start
напрямую (не через Nodemon), предупреждение об устаревании не регистрируется.
nodemon -v
: 1.18.5node -v
: 11.0.0{
"watch": "nodemon",
"start": "node --experimental-modules --no-warnings -r dotenv/config server"
}
npm run watch
md5-5c7f483fc44346d27a37182ef5f13bdb
[DEP0106] DeprecationWarning: crypto.createDecipher is deprecated.
Используйте версии Nodemon и Node.js, как указано выше.
Если применимо, добавьте флаг --dump
к своей команде и включите сюда выходные данные, чтобы удалить любые конфиденциальные/личные данные или токены .
Я попытался добавить --trace-deprecations
в свой стартовый скрипт, но это не дало результата, поскольку предупреждение об устаревании вызывается кодом Nodemon (или зависимостями), который запускается перед стартовым скриптом.
Если вы попробуете nodemon с голым index.js, вы все равно получите предупреждение?
т.е.
echo "" > index.js
nodemon index.js
Ага:
Действительно, я также получил проблему.
node index.js
=> без предупреждения
nodemon index.js
=> получил предупреждение
Та же проблема,
nodemon
версия: 1.18.6
Вот след:
> nodemon index.js
(node:27294) [DEP0106] DeprecationWarning: crypto.createDecipher is deprecated.
at [redacted]/node_modules/flatmap-stream/index.min.js:1:1264
at Object.<anonymous> ([redacted]/node_modules/flatmap-stream/index.min.js:1:1423)
at Module._compile (internal/modules/cjs/loader.js:707:30)
at Object.Module._extensions..js (internal/modules/cjs/loader.js:718:10)
at Module.load (internal/modules/cjs/loader.js:605:32)
at tryModuleLoad (internal/modules/cjs/loader.js:544:12)
at Function.Module._load (internal/modules/cjs/loader.js:536:3)
at Module.require (internal/modules/cjs/loader.js:643:17)
at require (internal/modules/cjs/helpers.js:22:18)
at Object.<anonymous> ([redacted]/node_modules/event-stream/index.js:11:15)
И круг замкнулся... Оказывается, это какая-то инъекционная атака.
https://github.com/dominictarr/event-stream/issues/116
Связано: https://github.com/remy/nodemon/issues/1451
Я пытаюсь выпустить релиз на nodemon, но тесты не проходят (один из интеграционных тестов оставляет фоновый сервер работающим).
Тем не менее, новая установка nodemon должна получить [email protected]
, которая, если она вызывает это предупреждение, теперь должна быть чистой.
Может ли кто-нибудь протестировать (и подтвердить с помощью npm ls pstree.remy
против установки dif nodemon)?
Эта проблема устранена в выпуске pstree.remy
; зараженный пакет удален из дерева зависимостей nodemon
. Спасибо!
Я пытаюсь выпустить релиз на nodemon, но тесты не проходят (один из интеграционных тестов оставляет фоновый сервер работающим).
@remy рад слышать, что у вас есть неудачные тесты, все определенно сломано. См. № 1464.
@FallingSnow из чистого любопытства: исходя из трассировки стека, как вы узнали, что это инъекционная атака? вы начали анализировать файлы js и min.js?
Вот след:
```js
nodemon index.js
(узел: 27294) [DEP0106] Предупреждение об устаревании: crypto.createDecipher устарел.
в [отредактировано]/node_modules/flatmap-stream/index.min.js:1:1264
на Объект.([отредактировано]/node_modules/flatmap-stream/index.min.js:1:1423)
...
@piotrturski , если у вас есть эта трассировка стека, ваши зависимости устарели, и nodemon нуждается в обновлении.
@piotrturski Я просто следил за трассировкой стека, пока не наткнулся на какой-то очень странный код, который выглядел как запутанная полезная нагрузка.
Так что да, я проанализировал файлы js, см . https://github.com/dominictarr/event-stream/issues/116.
Самый полезный комментарий
И круг замкнулся... Оказывается, это какая-то инъекционная атака.
https://github.com/dominictarr/event-stream/issues/116
Связано: https://github.com/remy/nodemon/issues/1451