<div dir="ltr">Hi,<div><br></div><div>Just following up on this proposal. I really do think it would be beneficial to have limits on package deletion.</div><div><br></div><div>Thanks,</div><div>Jimmy Jia</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Nov 29, 2017 at 10:50 PM Jimmy Jia <<a href="mailto:tesrin@gmail.com">tesrin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi everyone,<br>
<br>
This is moved over from <a href="https://github.com/pypa/packaging-problems/issues/112" rel="noreferrer" target="_blank">https://github.com/pypa/packaging-problems/issues/112</a>.<br>
<br>
Currently, PyPI has no limitations around deleting packages, releases,<br>
or artifacts. This can be problematic for users, as user builds can<br>
break in an unsolicited manner if a dependency is removed from PyPI.<br>
<br>
In the Node ecosystem, a similar lack of limitations there caused<br>
significant problems about a year and a half ago, when a widely-used<br>
package was deleted following a dispute:<br>
<a href="http://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm" rel="noreferrer" target="_blank">http://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm</a>,<br>
<a href="http://blog.npmjs.org/post/141905368000/changes-to-npms-unpublish-policy" rel="noreferrer" target="_blank">http://blog.npmjs.org/post/141905368000/changes-to-npms-unpublish-policy</a>.<br>
At the time, the scope of the impact was characterized as "breaking<br>
the world".<br>
<br>
To resolve this, npm adopted a policy where package deletions (there's<br>
no distinction between a release and an artifact there) could only be<br>
done for the first 24 hours after a release was published. Deletions<br>
after the 24 hour mark require contacting npm support, and are<br>
contingent on the absence of dependents for the deleted release.<br>
<br>
Of course, npm is a venture-backed for-profit enterprise that has a<br>
paid support team – that's not the case here, so the "support" half of<br>
the solution above doesn't make sense here. However, as a starting<br>
point, it might still be a good idea to restrict package deletion<br>
after that 24-hour window.<br>
<br>
At least, in the examples given in the links above, the deletion of<br>
old packages is strictly a nice-to-have for the package maintainers,<br>
balanced against potentially breaking impacts for users.<br>
<br>
Thanks in advance for any feedback.<br>
<br>
Thanks,<br>
Jimmy Jia<br>
</blockquote></div>