<div dir="ltr"><div class="gmail_extra"><div><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div>Define "superior"?</div></div><div><br></div><div>As argued in the proposal, the salient features are that by devolving practically everything to Git+GPG, we end up with less code to maintain in our tooling, less code to maintain in our infrastructure (namely hackage-server), a more reliable service, and a smaller chance of buggering up security related activities (such as signing and managing trust).</div><div><br></div><div>We're not introducing dependencies on dynamically linked system libraries that makes tooling hard to distribute. We're not asking users to install anything new that isn't already a staple of most developer desktops, and not asking users, Hackage trustees and Hackage admins to manage new identities with new key formats that aren't the existing ones they already have (namely GnuPG). Further, users can still opt-out of signature verification if they want to.</div><div><br></div><div>Compared to alternative approaches - there has been a proposal to get incremental updates à la Git differently by growing (potentially infinitely) the end of a tar file served by the server via HTTP. This means grabbing the history for new package revisions cannot be opted out from easily. With Git, you get this for free, since users can `git clone --depth=1` and still be able to do a `git pull` later and verify signatures. You further get the advantage of being able to directly mine the history of changes, using standard tools, something that can't be done directly on the tar file without more custom tooling (or post conversion to Git).</div></div></div></div></div></div>
<br><div class="gmail_quote">On 28 April 2015 at 23:33, Bardur Arantsson <span dir="ltr"><<a href="mailto:spam@scientician.net" target="_blank">spam@scientician.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On 28-04-2015 23:09, Mathieu Boespflug wrote:<br>
> [removing erroneous <a href="mailto:haskell-cafe@googlegroups.com" target="_blank">haskell-cafe@googlegroups.com</a> from To list.]<br>
<br>
</span>(I'm not the person you're responing to. From the mail-headers, I can't<br>
see the person(s) you're responding to, but so be it.)<br>
<br>
Do you have evidence that your approach is superior, and could you<br>
please cite it? [Or, alternatively provide negative evidence for<br>
$OTHER_APPROACH.])<br>
<br>
Regards,<br>
<span><br>
--<br>
You received this message because you are subscribed to the Google Groups "Commercial Haskell" group.<br>
To unsubscribe from this group and stop receiving emails from it, send an email to <a href="mailto:commercialhaskell%2Bunsubscribe@googlegroups.com" target="_blank">commercialhaskell+unsubscribe@googlegroups.com</a>.<br>
To post to this group, send email to <a href="mailto:commercialhaskell@googlegroups.com" target="_blank">commercialhaskell@googlegroups.com</a>.<br>
</span>To view this discussion on the web visit <a href="https://groups.google.com/d/msgid/commercialhaskell/mhouaf%24it2%241%40ger.gmane.org" target="_blank">https://groups.google.com/d/msgid/commercialhaskell/mhouaf%24it2%241%40ger.gmane.org</a>.<br>
<div><div>For more options, visit <a href="https://groups.google.com/d/optout" target="_blank">https://groups.google.com/d/optout</a>.<br>
</div></div></blockquote></div><br></div></div>