<div id="geary-body" dir="auto"><div><br></div></div><div id="geary-quote" dir="auto"><br>On Thu, Oct 24, 2019 at 11:40, Jonas Smedegaard <dr@jones.dk> wrote:<br><blockquote type="cite"><div class="plaintext" style="white-space: pre-wrap;">Package: node-lodash
Version: 4.17.15+dfsg-1
Severity: serious
Justification: Policy 2.1

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

The source package src:node-lodash states in its debian/copyright file
that its upstream source is <a href="https://github.com/lodash/lodash">https://github.com/lodash/lodash</a><br></div></blockquote><span style="white-space: pre-wrap;"><div><span style="white-space: pre-wrap;"><br></span></div>What I found relevant here is</span><div><span style="white-space: pre-wrap;">If running dpkg-source -x on a source package doesn˙t produce the source of the package, ready for editing, and allow one to make changes and run dpkg-buildpackage to produce a modified package without taking any additional steps, creating a debian/README.source documentation file is recommended.</span></div><div><span style="white-space: pre-wrap;"><br></span><div><span style="white-space: pre-wrap;">https://www.debian.org/doc/debian-policy/ch-source.html#source-package-handling-debian-readme-source</span></div></div><div><span style="white-space: pre-wrap;"><br></span></div><div><span style="white-space: pre-wrap;">I don't think even this requirement is not applicable here, </span><span style="white-space: pre-wrap;">as apt source does the required things and uscan does the right thing when updating to new upstream release.</span></div></div>