superivankorolev

Сразу вопрос - зачем?! Что касается версий, то вот: JScript Version Information
(Вы помните, что JScript это не JavaScript?)

Надо понимать, что nodejs штука однопоточная. Если вам прям нужна прям одновременная обработка, то надо распараллелить на все ядра с помощью cluster.

Вряд ли вы упретесь в лимит количества промизов (если он вообще есть). Более вероятно, что гораздо раньше вы упретесь в количество открытых сетевых подключений, в производительность сервера, откуда вы запрашиваете данные и так далее.

Array.reduce поможет

var root = {};
function add_routes(path, root) {
  path.split('\\')
    .reduce(function(currentNode, item){
      return currentNode = currentNode[item] = {};
    }, root)
}

Быстро накидал рекурсию, проверяйте сами.

scan(middleware_path, middleware);

function scan (dir, d) {
	fs.readdirSync(dir).forEach(function(file) {
		if (fs.statSync(dir + '/' + file).isDirectory()) {
			d[file] = d[file] || {};
			scan(dir + '/' + file, d[file]);
		} else if (file.endsWith('.js') {
			file = file.slice(0, -3); 
			try {
				d[file] = require(middleware_path + file);
			} catch (e) {
				console.log(e);
			}
		}
	});
}

Bycrypt верно, гуд.
Вообще защита пользовательских паролей в бд составляеться из расчета:
возможная компроментация системы, допустим сегодня Вас хэкнули, слили БД, нужно крякнуть пассы. Конечно в ход идет первым делом всевозможные finder.insidepro.com (довольно сильная и внушительную БД товарищи собрали) и другие сервисы включая cmd5.
Из этого логически можно понять, чтобы сразу не остаться в луже, обязательно использовать алгоритм с salt. Дабы ваши юзеры прожили спокойно еще чуть времени)
И дальше простой расчет идет, к примеру md5 средний показатель гдето 10M/hs, грубо говоря если политика паролей включает минимум 8 знаков разного регистра и использование символов, хэшкрякинг затянеться примерно на недельку для нахождения 90-95% паролей.
Остюда делаем выводы: если обычный md5 - делайте политику смену паролей еженедельно
если bycypt (blowfish) - можно ограничеться полугодовым или годовым периодом обязательной смены паролей.

P.s. В прошлогоднем контесте hashrunner на PHDays 2015, нашей и остальными командами не было ни 1 bycrypt крякнуто, хотя может ошибаюсь по поводу лидирующей команды. Но имхо, просто не тратили время на это. Мы заняли 4 место, немного отстав 3ие. С учетом что первые 3 - несменные лидеры и отцы хэшкрякинга (hashcat/insidepro/jhontheripper)
Вот так вот. Думаю вопрос будет решен)
И надеюсь это очень серьезный подход к безопасности? Или халатность в защите самой системы, другими словами - почти уверены что вашу бд сольют?))

mymodule.js

var param = "param";

module.exports = function(item){
    var self = this;
    param = item;
    self.echo = function(){
        console.log(param);
    }
    return {
        echo: self.echo
    }
}

test.js

var myModule = require('./mymodule')("newparam");
myModule.echo();

Да, нужно создавать каждую директорию отдельно. если это лениво, то добрые люди написали модуль: https://github.com/substack/node-mkdirp

module = require('../module');
// или
module = require('/a/b/module');

socket.setNoDelay(true)
Отключает алгоритм Нейгла.

Вероятность ничтожна, но все бывает, что Вам мешает проверять номер на уникальность ?

openssl

TLS?

Решение:
app.use('/hot', express.static('hot777'));

Это называется клоакинг и ПС его не приветствуют. Это первое.
Второе: для чего вам ссылка, которая не будет работать, которая не принесет переходов? Чисто свой ТИЦ поднять? Не уверен, что это получится сделать, если у донора всего-то тиц100. Было б 100 000, еще б понятно было.

Мое мнение: не заморачиваться.