<p dir="ltr"><br>
On 12 May 2014 09:35, "Donald Stufft" <<a href="mailto:donald@stufft.io">donald@stufft.io</a>> wrote:<br>
> On May 11, 2014, at 6:49 PM, Nick Coghlan <<a href="mailto:ncoghlan@gmail.com">ncoghlan@gmail.com</a>> wrote:<br>
>><br>
>> Specifically, what I would recommend is:<br>
>><br>
>> 1. Remove any references to the global flag from other documentation and error messages - always recommend the use of per-package flags to enable external downloads.<br>
>> 2. Deprecate the global flag in 1.6<br>
>> 3. Remove it in 1.7 unless there is a marked increase in the proportion of verifiable vs unverifiable external hosting on PyPI.<br>
>><br>
>> Adding a more explicit alias in step 2 would also be reasonable (since the meaning of the base "allow external" will be changing). Either way, the docs for the global option should acquire a caveat:<br>

>><br>
>> "Note: The vast majority of links from PyPI to externally hosted packages are missing the hash information needed for verification, so this option won't actually allow downloading of most externally hosted packages - to handle such cases, use "allow-external" with the specific package name"<br>

>><br>
>> Cheers,<br>
>> Nick.<br>
><br>
> So, this is essentially my current PR except instead of removing the<br>
> --allow-all-external flag in 1.6 it's deprecated and removed in 1.7. I was on<br>
> the fence about removing vs deprecating the --allow-all-external flag. The only<br>
> reason I chose to remove it was I didn't feel very good about making it match<br>
> the semantics of --allow-external (external safe and unsafe) but the naming of<br>
> it made it sound like it was just the global option.<br>
><br>
> I'm not completely against that. I think it's choosing between three bad<br>
> options, removing --allow-all-external, making it not match --allow-external,<br>
> or making it a global do an unsafe thing flag.</p>
<p dir="ltr">Yeah, "deprecated & not matching the per package semantics" is my suggestion at this point - you've persuaded me that dropping it is the right thing to do, so we're only discussing timing.</p>

<p dir="ltr">> However before I go further on that I want to dig more into the impact of these<br>
> things. It dawned on me earlier today that the way I was categorizing things<br>
> in my earlier number crunching was making it unreasonably hard to actually<br>
> divine any sort of meaning out of those numbers. I'm currently in the process<br>
> of crawling all of PyPI again*, after I have those new numbers I'll have a<br>
> better sense of things and I think a better forward plan can be made.</p>
<p dir="ltr">Cool.</p>
<p dir="ltr">Cheers,<br>
Nick.<br>
</p>