
<p dir="ltr"><br>

On 6 Jun 2013 04:49, "Donald Stufft" <<a href="mailto:donald@stufft.io">donald@stufft.io</a>> wrote:<br>

><br>

><br>

> On Jun 5, 2013, at 1:49 PM, Barry Warsaw <<a href="mailto:barry@python.org">barry@python.org</a>> wrote:<br>

><br>

>> On Jun 05, 2013, at 12:16 PM, Donald Stufft wrote:<br>

>><br>

>>> Where are you updating the version information at? And how are you generating<br>

>>> a tarball so that it's name has the correct version in it?<br>

>><br>

>><br>

>> It depends on the package, but let's say it's in a version.txt file.  Your<br>

>> implication is correct though - if setup.py is parsing that file to calculate<br>

>> the version key, it can also do the same and calculate the download_url value.<br>

>><br>

>> -Barry<br>

><br>

><br>

> I'm really just trying to get a sense of your workflow to see if I can make any changes to improve the process for it.<br>

><br>

> One of the big problems with download_url is that the data in setup.py is used in (and influences the content of) the final dist file. This means that inside of a setup.py you won't know what the hash of the final file is. So it's difficult for a setup.py based workflow with external urls to provide md5 sums for the files which means that pip and friends can't verify that no body modified the download in transit.</p>


<p dir="ltr">Hmm, I should mention this problem in PEP 426, and explicitly limit source_url to tarballs and VCS references. This self-referencing problem means it can't easily refer to a built sdist anyway, and the original source is preferred for distro packaging purposes.</p>


<p dir="ltr">Cheers,<br>

Nick.</p>

<p dir="ltr">><br>

> -----------------<br>

> Donald Stufft<br>

> PGP: 0x6E3CBCE93372DCFA // 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA<br>

><br>

><br>

> _______________________________________________<br>

> Distutils-SIG maillist  -  <a href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a><br>

> <a href="http://mail.python.org/mailman/listinfo/distutils-sig">http://mail.python.org/mailman/listinfo/distutils-sig</a><br>

><br>

</p>