<br>
<div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Not to be harsh, and maybe you don't realize it, but you're asking<br>

for the Windows world here.<br>
<br>
Do you trust every random site you pull a Drupal module from?  </blockquote><div><br>I don't think Paul was saying he would pull Drupal/Gem/CPAN/PECL/...etc<br>stuff from any random site. He would be getting them from the authoritative<br>
repository (e.g. <a href="http://drupal.org">drupal.org</a>, <a href="http://cpan.org">cpan.org</a>, <a href="http://php.net">php.net</a>, ...etc.)<br><br>So the security risk here is minimal.<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Obviously<br>
yes, since you run the code, but so does everyone who installs<br>
the latest whizbang EXE on their Windows box, and then hopes for<br>
security updates from all those random sites.<br>
<br>
Making 'apt-get update ; apt-get upgrade' work properly means that there<br>
is someone behind the scenes doing the work for us.<br></blockquote><div><br>Yes, but Paul's point is that we have a myriad of them for each language.<br>Even though it is fairly easy to pull stuff from the respective repository for<br>
that language, it bypasses APT's dependency checking mechanism.<br><br>In a previous email I attempted to make the point that he is right where<br>languages/libraries are concerned. For Drupal, it is not much of an issue<br>
since we don't have anything other than Drupal web sites being impacted<br>by upgrading Drupal.<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

So Lori is right.  The problem is that people aren't using apt enough.<br>
<br>
If you go to the trouble of making your own repository, might<br>
as well put it on the net, and share it.  </blockquote><div><br>That is exactly what CPAN/PECL/Drupal do ...<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
And if you're going to<br>
share it, you might as well get in touch with a Debian developer<br>
so that everyone benefits, and you don't have to pay for the bandwidth<br>
yourself.<br></blockquote><div><br>The issue here is release cycles. Debian is very slow to come with <br>stable releases compared ot other stuff. For example, Drupal used<br>to have a 6-8 month release cycle for core, and several hundred <br>
modules. Now the cycle is more like 2 years for core, but there<br>are 3,000 or more modules out there, with various maintainers.<br>They tend to move at their own pace, often very quick, and hence<br>does not fit into the Debian repositories. We had really old stuff<br>
in Debian as far as Drupal is concerned.<br><br>I hear your point that someone can setup a separate repo for <br>Drupal in .deb format. It is noarch, so it is easy (no need to <br>have a version for ARM, PA-RISC or what have you), but the <br>
pace issue will still be there.<br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
And if that sounds like too much work, then you're still left with<br>
maintaining your systems manually like you've always done.<br>
<br>
It's a balance... and I've compiled my own programs enough to know that<br>
sometimes it's not worth it to make a full package.  But packaging is<br>
not rocket science either.  It's more like accounting... a little bit<br>
time consuming, and a little bit boring. :-)<br clear="all"></blockquote></div><br>You are right.<br>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com">2bits.com</a>, Inc.<br><a href="http://2bits.com">http://2bits.com</a><br>
Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>