[英]vue-CLI outputting very concerning error (security question)
我正在使用 Vue.js 构建一个应用程序。 突然,vue-cli 开始输出错误,让我担心我的一个或多个依赖项中可能有一些邪恶的东西。
当我运行 npm run serve (vue-cli serve) 时,命令成功,但输出如下几行错误消息:
(节点:366423)UnhandledPromiseRejectionWarning:错误:ENOENT:没有这样的文件或目录,stat'/initrd.img'
它也无法统计/home/jordan/.steampath
、 /initrd.img.old
、 /vmlinuz
和/vmlinuz.old
。
它有时也会在热重载时输出这些行。
我很担心,因为它似乎应该有零理由来尝试统计 kernel 文件或我的蒸汽路径。 它似乎在看它不应该看的东西(但显然被阻止这样做)。
我应该担心安全吗? 这是否证明我正在使用带有恶意代码的 vue 或 NPM 插件? 或者这是某个地方的简单错误配置?
这是我的 package.json:
{
"name": "pp10-client",
"version": "0.1.0",
"private": true,
"scripts": {
"serve": "vue-cli-service serve",
"build": "vue-cli-service build",
"lint": "vue-cli-service lint"
},
"dependencies": {
"@sentry/browser": "^5.15.5",
"@sentry/integrations": "^5.15.5",
"@tinymce/tinymce-vue": "^2.1.0",
"apexcharts": "^3.19.2",
"axios": "^0.19.2",
"blueimp-md5": "^2.16.0",
"core-js": "^2.6.11",
"filepond": "^4.13.6",
"moment": "^2.26.0",
"npm-cache": "^0.7.0",
"pdfjs": "^2.3.7",
"pdfjs-dist": "^2.3.200",
"save": "^2.4.0",
"sortablejs": "^1.10.2",
"tinymce": "^5.3.0",
"underscore": "^1.10.2",
"v-calendar": "^1.0.8",
"v-tooltip": "^2.0.2",
"vue": "^2.6.11",
"vue-apexcharts": "^1.5.3",
"vue-color": "^2.7.1",
"vue-filepond": "^5.1.3",
"vue-js-modal": "^1.3.35",
"vue-js-toggle-button": "^1.3.3",
"vue-phone-number-input": "^1.1.9",
"vue-router": "^3.2.0",
"vue-stepper-component": "^1.0.0",
"vue-tour": "^1.3.1",
"vue-worker": "^1.2.1",
"vuedraggable": "^2.23.2",
"vuex": "^3.4.0"
},
"devDependencies": {
"@vue/cli-plugin-babel": "^3.12.1",
"@vue/cli-plugin-eslint": "^3.12.1",
"@vue/cli-service": "^3.12.1",
"babel-eslint": "^10.1.0",
"eslint": "^5.16.0",
"eslint-plugin-vue": "^5.2.3",
"pug": "^2.0.4",
"pug-plain-loader": "^1.0.0",
"sass": "^1.26.5",
"sass-loader": "^7.3.1",
"stylus": "^0.54.7",
"stylus-loader": "^3.0.2",
"vue-template-compiler": "^2.6.11"
}
}
编辑:解决方案:
npm install -g @vue/cli
面对与 nuxt.js 相同的问题,审计没有提及任何关于此的内容。 如何找到npm模块? 字符串steam
不存在,可能被混淆为 bytearray 或其他
在 Ubuntu 20.04 上,升级到节点12.18.3 并运行npm rebuild node-sass
为我解决了这个问题。
确保在 package.json 中使用最新的依赖项(手动检查 npmjs.com 或 ZDFDC40E85426AB446666 注册表)
删除整个节点模块 dir 和 package-lock.json,然后运行 npm 安装对我有帮助。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.