
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<br class="">

<div>

<blockquote type="cite" class="">

<div class="">On Sep 29, 2014, at 4:46 AM, M.-A. Lemburg <<a href="mailto:mal@egenix.com" class="">mal@egenix.com</a>> wrote:</div>

<div class=""><br class="">

You are missing out on cases, where the release process causes files to<br class="">

be omitted, human errors where packagers forget to apply changes to<br class="">

e.g. documentation files, version files, change logs, etc., where<br class="">

packagers want to add information that doesn't affect the software<br class="">

itself, but meta information included in the distribution files.<br class="">

<br class="">

Such changes often do not affect the software itself, and so are not<br class="">

detected by software tests.<br class="">

<br class="">

If I understand you correctly, you are essentially suggesting that it<br class="">

becomes impossible to ever delete anything uploaded to PyPI, i.e.<br class="">

turning PyPI into a WORM.<br class="">

<br class="">

This would mean that package authors could never correct mistakes,<br class="">

remove broken packages distribution files, ones which they may be<br class="">

forced to remove for legal reasons, ones which they find are infected<br class="">

with a virus or trojan, ones which they uploaded for fun or<br class="">

by mistake.<br class="">

<br class="">

This doesn't have anything to do with making the user experience<br class="">

a better one. It is ignorant to assume that package authors who<br class="">

sometimes delete distribution files, or at least want to have the<br class="">

possibility to do so, don't care for their users. We are in<br class="">

Python land, so most authors will know what they are doing and<br class="">

do care for their users.<br class="">

<br class="">

After all: Why do you think I'm arguing against this proposal ?<br class="">

Because I want users of our packages to get the best experience<br class="">

they can get, by downloading complete, correct and working<br class="">

distribution files.<br class="">

<br class="">

This whole idea also has another angle, namely a legal one:<br class="">

the PSF doesn't own the distribution files it hosts on PyPI.<br class="">

<br class="">

So far, the argument to not fix the much too broad license on PyPI<br class="">

was that authors were able to delete files on PyPI to work around<br class="">

the unneeded "irrevocable" part of that license.<br class="">

<br class="">

With the suggested change, authors would have to give up complete<br class="">

control over their distribution files to the PSF in order for their<br class="">

packages to be installable by pip using its default settings.<br class="">

</div>

</blockquote>

<div><br class="">

</div>

<div>

<div>Others already said it, but let me be clear about it, this proposal does not in</div>

<div>any way seek to prevent authors from being able to delete files from PyPI. It</div>

<div>still allows them to delete anything at anytime and it still publishes that</div>

<div>information for mirrors (although mirrors are certainly under no obligation</div>

<div>to respect it if they desire not to). I completely agree with you that</div>

<div>disallowing authors to *delete* files would be incredibly short sighted and</div>

<div>wrong and I would be one of the people against such a change.</div>

<div><br class="">

</div>

<div>This proposal is strictly limited to the ability to delete a particular file,</div>

<div>let's say "foobar-1.0.tar.gz" and then reupload a different "foobar-1.0.tar.gz"</div>

<div>in it's place. If a mistake is made in the release, that's *ok* it can be</div>

<div>deleted, the only constraint is that with this change you'd need to increment</div>

<div>the version in some way, likely with a .postN or just bumping the last digit,</div>

<div>to signal to users that the bits in this has changed in some way.</div>

</div>

<br class="">

<blockquote type="cite" class="">

<div class=""><br class="">

This kind of lock-in and removal of author rights is not something<br class="">

I can support as PSF director. Those authors are the ones that have<br class="">

created a large part of our Python eco system and they are the ones that<br class="">

have put in work to get Python to where it is now: one of the best<br class="">

integrated programming languages you can find. We owe a lot to those<br class="">

authors and need to care for them.<br class="">

</div>

</blockquote>

<div><br class="">

</div>

<div>

<div>I *do* deeply care for the experience as an author as well as someone</div>

<div>installing from PyPI. After all I use PyPI in both capacities on a regular</div>

<div>basis.</div>

</div>

<br class="">

<blockquote type="cite" class="">

<div class=""><br class="">

Finally, changes such as the above will result in more authors<br class="">

to switch to alternative hosting platforms such as conda/<a href="http://binstar.org" class="">binstar.org</a><br class="">

or plain github clone + setup.py install (which is becoming increasingly<br class="">

popular). Do you really believe that this will make the user experience<br class="">

a better one in the long run ?<br class="">

<br class="">

If we want to make it attractive for package authors to host their<br class="">

packages on PyPI, we have to give them flexibility, respect their<br class="">

rights and be welcoming.<br class="">

<br class="">

</div>

</blockquote>

<div><br class="">

</div>

<div>

<div>I don't believe it's accurate to say people are switching away from PyPI in any</div>

<div>sort of relevant numbers. PyPI's usage is increasing, both in the number of</div>

<div>people releasing packages and in the number of people consuming packages.</div>

<div>Particularly the number of people consuming packages has risen massively. Do</div>

<div>you have any numbers or proof to backup the claim that people are switching</div>

<div>away?</div>

<div><br class="">

</div>

<div>To be completly honest the feedback that I get and see is overwhelmingly</div>

<div>positive for every change that has been made so far. That's not to say there</div>

<div>haven't been those who have been against some or all of the changes but those</div>

<div>people are generally in an extreme minority. This isn't to say that the changes</div>

<div>have been globally liked, but that it would be very surprising to me that</div>

<div>people are moving away from PyPI and if you have numbers/proof of that I</div>

<div>would love to see it.</div>

</div>

</div>

<br class="">

<div class="">

<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div class="">---</div>

<div class="">Donald Stufft</div>

<div class="">PGP: 7C6B 7C5D 5E2B 6356 A926 F04F 6E3C BCE9 3372 DCFA</div>

</div>

</div>

</div>

<br class="">

</body>

</html>