В 4100 (8.2%) рассмотренных пакетов в цепочке зависимостей выявлены пакеты, официально объявленные в NPM устаревшими или связанные с устаревшими проектами (например, пакет request помечен устаревшим, но продолжает использоваться как прямая зависимость у 55000 пакетов). 2300 (4.6%) пакетов связаны с репозиториями на GitHub, переведёнными в разряд архивных (разработка прекращена, например, репозиторий пакета through помечен как архивный, но используется как прямая зависимость у 3000 пакетов). 1100 (2.2%) пакетов ссылаются на уже не существующие репозитории, обращение к которыми приводит к возврату 404 ошибки. 3100
(6.2%) пакетов не содержат информацию о репозитории.
В абсолютном выражении распространение устаревших пакетов и пакетов без ссылок на репозитории в NPM экстраполировано примерно в 2.1 миллиарда загрузок в неделю. Использование устаревших пакетов и оставшихся без сопровождения проектов в качестве зависимости сопряжено с опасностью наличия неисправленных уязвимостей, особенно с учётом применяемой некоторыми разработчиками практики скрытого устранения уязвимостей без присвоения CVE-идентификатора и без явного акцентирования внимания на устранении проблемы.
Источник: http://www.opennet.ru/opennews/art.shtml?num=60472