<div dir="auto"><div>Hi,<br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 8 Jul 2020, 19:30 Jonas Smedegaard, <<a href="mailto:jonas@jones.dk">jonas@jones.dk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Quoting <a href="mailto:merkys@debian.org" target="_blank" rel="noreferrer">merkys@debian.org</a> (2020-07-08 15:13:06)<br>
> The upstream has updated the libsass support to 3.6.3 [1], it's just <br>
> not released yet. I have successfully used head of their git <br>
> repository to build node-node-sass without the embedded libsass copy <br>
> (there were a couple of failing mocha tests, however).<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">@Andrius: Thanks a lot for your work on this :-)</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Thanks for looking into this issue!<br>
<br>
Please strongly consider to not only make the package link with <br>
system-shared libsass, but also repackage upstream tarball with embedded <br>
code copy removed, to ensure not accidentally using that code (and to <br>
lighten the size of what gets distributed in Debian and simplify <br>
copyright tracking and ease security tracking).</blockquote></div></div><div dir="auto"><br></div><div dir="auto">@Jonas:</div><div dir="auto">I considered the same approach after the first source-only-upload was done.</div><div dir="auto">However, it might so happen that going forward the version of sass is updated to a newer upstream, and Debian adapts to that particular release,</div><div dir="auto">but the node-sass upstream might only have support for libsass 3.6.3 - considering that upstream of node-node-sass is slower to adapt to changes.</div><div dir="auto"><br></div><div dir="auto">This would cause node-node-sass to FTBFS.</div><div dir="auto"><br></div><div dir="auto">Hence, I wish to keep the embedded copy of libsass if such a situation arises.<br></div><div dir="auto"><br></div><div dir="auto">The package built with the libsass in the archive earlier - when it started to FTBFS,</div><div dir="auto">a flag was appended  for it to build with the embedded version of libsass.</div><div dir="auto">On reverting the commit[1], it'd again start building with the libsass in the archive.</div><div dir="auto"><br></div><div dir="auto">I'd wish to keep the same approach.</div><div dir="auto">_Please let me know_ if this doesn't sound good to you and if you'd prefer embedded libsass to be stripped entirely.</div><div dir="auto"><br></div><div dir="auto">[1]: <a href="https://salsa.debian.org/js-team/node-node-sass/-/commit/bb9e5ede14253ecc02140f9a5e946b580afed3d4">https://salsa.debian.org/js-team/node-node-sass/-/commit/bb9e5ede14253ecc02140f9a5e946b580afed3d4</a></div><div dir="auto"><br></div><div dir="auto">Kind Regards,</div><div dir="auto">Nilesh</div></div>