<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mar. 26 févr. 2019 à 01:55, W. Martin Borgert <<a href="mailto:debacle@debian.org">debacle@debian.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-02-26 10:09, Ben Finney wrote:<br>
> It's good to be able to avoid, at least in some measure, the security<br>
> tragedy that is most of the advice to modern web developers.<br>
><br>
> It has been demonstrated more than enough times that I should not trust<br>
> npm with installing applications on my workstation, so Debian packages<br>
> make my work much better.<br>
<br>
+1<br>
<br>
For an announcement, we should think about what our message is.<br>
Not more than two or three points. Such an announcement will<br>
spread over all the net and will also provoke dissent. It must<br>
be well-founded and well written.<br>
<br>
IMHO, the "web developers security tragedy" must be one of them.<br>
With a short explanation why Debian packages are better than the<br>
stuff you get from strangers (minified, embedded code copies,<br>
random versions, no source code, unclear licenses, etc.).<br>
<br>
Another point might be convenience. To have everyting in one<br>
package management system, not spread over npm, pip, melpa, gem,<br>
is just useful and practical. Maybe with mentioning advantages<br>
for both development and deployment of web applications.<br></blockquote><div><br></div><div>If the announcement is talking about security, we should make sure there is</div><div>no planned security exception for nodejs in Buster.</div><div><br></div><div>Jérémy</div><div><br></div></div></div>