<div dir="ltr"><br><br><div class="gmail_quote">On Thu, Apr 30, 2015 at 10:08 AM Jeremy <<a href="mailto:voldermort@hotmail.com">voldermort@hotmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Mathieu Boespflug-4 wrote<br>
> We're not introducing dependencies on dynamically linked system libraries<br>
> that makes tooling hard to distribute. We're not asking users to install<br>
> anything new that isn't already a staple of most developer desktops<br>
<br>
My sole concern with this is that git is often not present on build servers,<br>
which may be minimal cloud VMs. Here's what I get when I try to install git<br>
on mine:<br>
<br>
# apt install git --no-install-recommends<br>
...<br>
The following NEW packages will be installed:<br>
  git git-man libcurl3-gnutls liberror-perl libexpat1 libgdbm3 perl<br>
perl-modules<br>
0 upgraded, 8 newly installed, 0 to remove and 2 not upgraded.<br>
Need to get 10.4 MB of archives.<br>
After this operation, 57.2 MB of additional disk space will be used.<br>
<br>
Not unbearable, but not insignificant either.<br>
<br><br></blockquote><div><br></div><div>One possible workflow[1] would be to have a dedicated system that uses Git and GPG to pull the current versions of all packages and verify signatures. That system could then create a snapshot of that information that could simply be downloaded by a build server. In fact, there could even be a public server available providing that functionality, with the caveat that- like today- you'd need to trust that server to not be compromised.</div><div><br></div><div>I think this is what Mathieu was getting at when he said:</div><div><br></div><div>> <span style="font-size:13.1999998092651px;line-height:19.7999992370605px">Further, users can still opt-out of signature verification if they want to.</span></div><div><span style="font-size:13.1999998092651px;line-height:19.7999992370605px"><br></span></div><div><span style="font-size:13.1999998092651px;line-height:19.7999992370605px">Michael</span></div><div><br></div><div>[1] And possible may be too weak a word, as I have an implementation pretty close to this already.</div></div></div>