<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 8 Jul 2020, 20:38 Jonas Smedegaard, <<a href="mailto:jonas@jones.dk">jonas@jones.dk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Quoting Nilesh Patra (2020-07-08 17:00:01)<br>
> On Wed, 8 Jul 2020, 20:22 Jonas Smedegaard, <<a href="mailto:jonas@jones.dk" target="_blank" rel="noreferrer">jonas@jones.dk</a>> wrote:<br>
> <br>
> > Quoting Nilesh Patra (2020-07-08 16:26:34)<br>
> > > On Wed, 8 Jul 2020, 19:30 Jonas Smedegaard, <<a href="mailto:jonas@jones.dk" target="_blank" rel="noreferrer">jonas@jones.dk</a>> wrote:<br>
> > > > Please strongly consider to not only make the package link with<br>
> > > > system-shared libsass, but also repackage upstream tarball with<br>
> > > > embedded code copy removed, to ensure not accidentally using that<br>
> > > > code (and to lighten the size of what gets distributed in Debian and<br>
> > > > simplify copyright tracking and ease security tracking).<br>
> > ><br>
> > ><br>
> > > @Jonas:<br>
> > > I considered the same approach after the first source-only-upload was<br>
> > done.<br>
> > > However, it might so happen that going forward the version of sass is<br>
> > > updated to a newer upstream, and Debian adapts to that particular<br>
> > release,<br>
> > > but the node-sass upstream might only have support for libsass 3.6.3 -<br>
> > > considering that upstream of node-node-sass is slower to adapt to<br>
> > changes.<br>
> > ><br>
> > > This would cause node-node-sass to FTBFS.<br>
> ><br>
> > Yes. That is how Debian generally works.<br>
> ><br>
> > Please explain why this package needs exceptional handling.<br>
> <br>
> <br>
> The upstream for node-node-sass took a considerable amount of time to<br>
> switch to libsass 3.6.3, and there is still no official upstream release<br>
> yet.<br>
> <br>
> The same situation may arise in future, and it might take many months for<br>
> upstream to adapt.<br>
> <br>
> Hence I considered it _might_ be sensible to keep the copy.<br>
> <br>
> However, I admit that your reasoning is right here - this probably doesn't<br>
> need exceptional handling.<br>
<br>
None of us can predict the future.  But we can choose to assume that <br>
this package will evolve badly in the future or that it will evolve <br>
well.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Correct.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
If we expect this package to evolve badly, then we should *not* keep an <br>
embedded copy of libsass, but instead remove this package and all its <br>
reverse dependencies, because libsass has been proven insecure if left <br>
unmaintained,</blockquote></div></div><div dir="auto"><br></div><div dir="auto">It has a few reverse dependencies - I mainly packaged this for getting node-mermaid to Debian which is still in NEW, and hopefully will be accepted.</div><div dir="auto">I am interested in maintaining mermaid and hence do not want to remove node-node-sass.</div><div dir="auto"><br></div><div dir="auto">Maybe I'll keep nagging the upstream for evolving this properly time and again ;-)</div><div dir="auto"><br></div><div dir="auto">Kind regards,</div><div dir="auto">Nilesh</div></div>