<div dir="ltr"><br><br><div class="gmail_quote">On Fri, Apr 17, 2015 at 1:01 AM Magnus Therning <<a href="mailto:magnus@therning.org">magnus@therning.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, Apr 16, 2015 at 03:28:10PM +0000, Michael Snoyman wrote:<br>
> Minor update. Some of your points about checking signatures before<br>
> unpacking made me curious about what Git had to offer in these<br>
> circumstances. For those like me who were unaware of the<br>
> functionality, it turns out that Git has the option to reject<br>
> non-signed commits, just run:<br>
><br>
> git pull --verify-signatures<br>
><br>
> I've set up the Travis job that pulls from Hackage to sign its<br>
> commits with the GPG key I've attached to this email (fingerprint<br>
> E595 AD42 14AF A6BB 1552  0B23 E40D 74D6 D6CF 60FD).<br>
<br>
Nice one!<br>
<br>
One thing I, as a developer of a tool that consumes the Hackage<br>
index[1], would like to see is a bit more meta data, in particular<br>
<br>
- alternative download URLs for the source<br>
- hashes of the source (probably needs to be per URL)<br>
<br>
I thought I saw something about this in the thread, but going through<br>
it again I can't seem to find it.  Would this sort of thing also be<br>
included in "improvements to package hosting"?<br>
<br>
/M<br>
<br>
[1]: <a href="http://hackage.haskell.org/package/cblrepo" target="_blank">http://hackage.haskell.org/package/cblrepo</a><br>
<br><br></blockquote><div><br></div><div>My strawman proposal did include the idea of identifying a package via its hash, and then providing redundant URLs for download (some of those URLs possibly being non-HTTP, such as a special URL to refer to contents within a Git repository). But as I keep saying, that was a strawman proposal, not to be taken as a final design.</div><div><br></div><div>That said, simply adding that information to the 00-index file seems like an easy win. The hashes, at the very least, would fit in well.</div><div><br></div><div>Michael </div></div></div>