<div dir="ltr"><div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">"we don't know what happens inside corporate firewalls"<br>
</blockquote><div><br></div><div>non-published use of dependency links could turn out to be the use-cases that we'd get complaints about</div></div><div><br></div><br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
To me, the best part of the more aggressive timeline is it means<br>
CPython would never ship a version of pip that allows that particular<br>
attack vector by default.<br>
<br></blockquote><div><br></div><div style>over IRC and on pypa-dev, I brought up the deprecate first point of view in the context that we would be *removing the feature*.</div><div style>It's less drastic to flip defaults (and add a turn on)</div>
<div style><br></div><div style>it's probably right that nobody will complain, but my thinking was this:</div><div style>- donald can add a hidden option for now for the sake of ensurepip (it wouldn't clutter the cli, and can be removed later care-free)</div>
<div style>- separate from that,  pip and setuptools deprecates together, then completely removes dep-links support.  if its bad, it's bad. get rid of it. let's reduce the options and clutter.</div><div><br></div>
<div><br></div></div></div></div>