<div dir="ltr">Package: plinth<br>Version: <span style="font-family:monospace"><span style="color:rgb(0,0,0)">20.10</span><br></span><div>severity: serious</div><div><br></div><div>Hi,</div><div>running into issues today I realized that the new freedombox 20.10 places this file on disk:</div><div>$ cat /etc/apt/sources.list.d/freedombox2.list<br>  # This file is managed by FreedomBox, do not edit.<br>  # Allow carefully selected updates to 'freedombox' from backports.<br>  deb <a href="http://deb.debian.org/debian" target="_blank">http://deb.debian.org/debian</a> buster-backports main<br>  deb-src <a href="http://deb.debian.org/debian" target="_blank">http://deb.debian.org/debian</a> buster-backports main<br></div><div><br></div><div>IMHO a package should not on-install mess with apt sources. Users just don't expect this or the follow on consequences that can happen.</div><div>For example you are pinning <span style="color:rgb(0,0,0);font-family:monospace">python packages from backports which I'd expect might lead to quite some dependency hell with other things installed.</span></div><div><span style="color:rgb(0,0,0);font-family:monospace"></span></div><div><br></div><div>I was facing this in Ubuntu where it is even more wrong and essentially breaking `apt update`, but IMHO it is even wrong if not outright forbidden by some policy in Debian. I mean adding 'buster-backports' and pinning to them in e.g. 'sid' - to me that sounds like calling for trouble.</div><div><br></div><div>I'd ask you to reconsider and remove this behavior. If you want/need to keep it then maybe at least consider adding a skip if `<span style="color:rgb(0,0,0);font-family:monospace">dpkg-vendor --derives-from Ubuntu` is true. Would that work better for you?</span></div><div><br></div>-- <br><div dir="ltr" data-smartmail="gmail_signature">Christian Ehrhardt<br>Staff Engineer, Ubuntu Server<br>Canonical Ltd</div></div>