
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 21 déc. 2023 à 10:54, Moritz Muehlenhoff <<a href="mailto:jmm@inutil.org">jmm@inutil.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Dec 21, 2023 at 06:43:35AM +0100, Salvatore Bonaccorso wrote:<br>

> Hi,<br>

> <br>

> [CC'ing node-undici uploader]<br></blockquote><div><br></div><div>[CC-ing the good email address for node-undici uploader]</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

> > >> Ack, let's do that. Could you prepare bookworm-security updates<br>

> > >> based on 18.17.0 (after it has landed in unstable)?<br>

> > ><br>

> > nodejs 18.19.0 has landed in testing.<br>

> > It rebuilds fine in bookworm, and test-suite-during-build pass on amd64.<br>

> > <br>

> > It also requires "node-undici", precisely for that change:<br>

> > <br>

> > node-undici (5.28.2+dfsg1+~cs23.11.12.3-2) unstable; urgency=medium<br>

> > <br>

> >   * Build and publish undici-types, needed by new @types/node<br>

> > <br>

> > Is there a way to deal with this ?<br>

> <br>

> Then I guess we need this as pre-requisite upload to bookworm as well.<br>

> <br>

> Maybe Moritz has a better idea, but one option is to propose this<br>

> update regularly as bookworm-pu and once it's in proposed update ask<br>

> DSA to make the security chroots pick as well updates from<br>

> prpopsoed-updates if we plan to release nodejs via a DSA (or otherwise<br>

> via bookworm-pu as well).<br>

> <br>

> One other alternative is to make a non-security upload for<br>

> node-unidici containing that change to the security archive, which the<br>

> nodejs update can pick.<br>

<br>

I think we can handle it similar to what we recently did when OpenJDK bumped<br>

it's requirement for jtreg: When we have a suitable update for node-undici<br></blockquote><div><br></div><div>Attached is a debdiff for a node-undici update (which backports what has been done in testing).</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

we upload it to security-master and the security buildds will be able to<br>

use it to build the new nodejs. And then it simply gets released along with<br>

the nodejs update.<br>

<br>

Cheers,<br>

        Moritz<br>

</blockquote></div></div>