Webpack 供应商 JS 捆绑包 (Vue CLI) 包含未在 dependencies 或 package-lock.json? 中列出的代码?

Webpack vendors JS bundle (Vue CLI) includes code not listed in dependencies or package-lock.json?

信息安全审计工具为在我们的 webpack 捆绑包(通过 Vue CLI)中发现的具有已知漏洞的过时库提出了一个标志chunk-vendors.js 文件:

YUI 2.9.0

似乎这个库甚至没有完整包含,因为它只是这个简短的代码片段:

/*! Copyright (c) 2011, Yahoo! Inc. All rights reserved. Code licensed under the BSD License: http://developer.yahoo.com/yui/license.html version: 2.9.0 */if(void 0===a)var a={};a.lang={extend:function(e,n,i){if(!n||!e)throw new Error("YAHOO.lang.extend failed, please check that all dependencies are included.");var a=function(){};if(a.prototype=n.prototype,e.prototype=new a,e.prototype.constructor=e,e.superclass=n.prototype,n.prototype.constructor==Object.prototype.constructor&&(n.prototype.constructor=n),i){var o;for(o in i)e.prototype[o]=i[o];var s=function(){},c=["toString","valueOf"];try{/MSIE/.test(r.userAgent)&&(s=function(t,e){for(o=0;o<c.length;o+=1){var n=c[o],r=e[n];"function"==typeof r&&r!=Object.prototype[n]&&(t[n]=r)}})}catch(t){}s(e.prototype,i)}}};

我原本希望找到 NPM 安装的 YUI 依赖项,因此在 package-lock.json 中找到了,但是,在锁定文件中找不到 yui

如何将此依赖项包含在 chunk-vendors.js 文件中而不包含在 package-lock.json 中,或者如何调试它?

为了找到有罪的依赖,您可以简单地通过 node_modules 执行 grep 搜索来寻找上面提到的版权文本。 对于 Windows,您可以使用 PowerGREP 或 CLI 命令 findstr /s /i /m \<developer.yahoo.com\> *.* > results.outs 用于递归搜索,i 用于不区分大小写的搜索,m 仅打印文件名而不是匹配的确切行)