<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 24 oct. 2019 à 19:33, Jonas Smedegaard <<a href="mailto:dr@jones.dk" target="_blank">dr@jones.dk</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Quoting Pirate Praveen (2019-10-24 19:12:22)<br>
> <br>
> <br>
> On Thu, Oct 24, 2019 at 19:05, Jonas Smedegaard <<a href="mailto:dr@jones.dk" target="_blank">dr@jones.dk</a>> wrote:<br>
> > Quoting Pirate Praveen (2019-10-24 18:42:17)<br>
> >>  On Thu, Oct 24, 2019 at 16:19, Jonas Smedegaard <<a href="mailto:dr@jones.dk" target="_blank">dr@jones.dk</a> <br>
> >> <mailto:<a href="mailto:dr@jones.dk" target="_blank">dr@jones.dk</a>>> wrote:<br>
> >>  > Quoting Pirate Praveen (2019-10-24 15:34:15)<br>
> >>  >>  All files derived from source have their corresponding source <br>
> >>  >>  code and it is regenerated during build.<br>
> >>  ><br>
> >>  > It may very well be "source" but not "upstream source".<br>
> >>  ><br>
> >> <br>
> >>  Then I fail to see how this is a serious bug.<br>
> > <br>
> > I listed Policy § 2.1 as being the reason for severity of this bug.<br>
> > <br>
> > Let me quote the part I find relevant:<br>
> > <br>
> >>  The program must include source code, and must allow distribution <br>
> >>  in source code as well as compiled form.<br>
> > <br>
> > If this package _does_ contain source code but just from a <br>
> > _different_ upstream project than the one currently listed in <br>
> > debian/copyright then the bug is easily fixed by simply correcting <br>
> > what upstream project this package claims to ship source code from.<br>
> <br>
> Lets ask the team what they think about the issue.<br>
> <br>
> Hi js-team,<br>
> <br>
> Do you think this is really an rc bug? Do you think Source field in <br>
> debian/copyright should be changed to <br>
> <a href="https://github.com/lodash/lodash/releases" rel="noreferrer" target="_blank">https://github.com/lodash/lodash/releases</a> ?<br>
<br>
For the record, I did not say that above URL solves this bug.<br></blockquote><div><br></div><div>Does the problem Jonas refer to is that embedded component lodash-cli</div><div>is downloaded (by watch file) from <a href="https://registry.npmjs.org/lodash-cli" target="_blank">https://registry.npmjs.org/lodash-cli</a> ?</div><div><br></div><div>Side note: downloading from <a href="http://npmjs.org" target="_blank">npmjs.org</a> should be avoided and maybe a</div><div>good candidate for a lintian error; for it is an unreliable source</div><div>(no checksum, no guarantee, unlike git, afaik).</div><div><br></div><div>Jérémy, trying to help.</div><div><br></div><div>PS: Pirate, no need to cc pkg-javascript-devel we already receive all bug reports.</div></div></div>