Сбой антиспам-системы привёл к коллапсу в репозитории NPM

В рeпoзитoрии NPM прoизoшёл инцидeнт, нaпoминaющий прoизoшeдшую в 2016 гoду истoрию с мoдулeм left-pad, удaлeниe кoтoрoгo привeлo к нeрaбoтoспoсoбнoсти мнoгиx прoeктoв изо-зa потери зависимости. На этот один раз причиной проблем стала система автоматизированной борьбы со спамом, изо-за которой по ошибке были удалены читатель floatdrop и 102 разработанных им модуля. Многие с заблокированных модулей пользовались популярностью и использовались в качестве зависимостей в других модулях и приложениях. Недоступность данных модулей привела к каскадному обрушению зависимостей и невозможности поставить или обновить тысячи пакетов в NPM. К примеру сказать, модуль require-from-string, насчитывающий всего 25 строк кода, насчитывает больше 4.5 млн загрузок в месяц, а узел timed-out (46 строк кода) больше 7 млн загрузок в месяц. Разбор причин ложного срабатывания антиспам-системы показал, подобно как незадолго до инцидента один с спамеров разместил вредоносный модуль, в некоторый для прикрытия скопировал файл README с легитимного пакета timed-out, принадлежащего пользователю floatdrop. Доктрина распознала вредоносный модуль, но с-за совпадения файлов README посчитала пользователя floatdrop причастным к спаму. Отвечающий вслед за разбор спама персонал халатно отнёсся к своим обязанностям и невыгодный разобравшись в сути предупреждения от антиспам-системы подтвердил блокировку учётной ежедневник floatdrop и удалил все его модули изо репозитория. Проблема сразу дала о себя знать и персонал оперативно приступил к устранению неполадок. В крен трёх часов удалось полностью поднять из руин состояние репозитория. Примечательно, что быстрому восстановлению помешало так, что некоторые предприимчивые пользователи враз зарегистрировали новые модули с теми но именами, что и удалённые (всего было размещено 11 дубликатов). Приваливание данных модулей потребовало дополнительного разбора и создало предпосылки в целях подозрений в попытках распространения вредоносного заключение. Для предотвращения подобных ситуаций в будущем была введена 24-часовая застой републикации удалённых пакетов (для защиты через незаметного размещения вредоносных пакетов заместо удалённых), выработаны новые рекомендации и распорядок по реагированию на проблемы, улучшен инструментарий чтобы борьбы со спамом и добавлены суммы для оперативного восстановления ошибочно удалённых пакетов. Генератор: http://www.opennet.ru/opennews/art.shtml?num=47891