<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 3 December 2016 at 01:33, Robert T. McGibbon <span dir="ltr"><<a href="mailto:rmcgibbo@gmail.com" target="_blank">rmcgibbo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Isn't this issue already solved by (and the raison d'être of) the multiple third-party Python redistributors, like the various OS package maintainers, Continuum's Anaconda, Enthought Canopy, ActiveState Python, WinPython, etc?</div></blockquote><br></div><div class="gmail_quote">Yep. Once you start talking content curation, you're in a situation where:<br><br></div><div class="gmail_quote">- you're providing an ongoing service that will always be needed (the specific packages will change, but the task won't)<br></div><div class="gmail_quote">- you need to commit to a certain level of responsiveness for security issues<br></div><div class="gmail_quote">- you'll generally need to span multiple language ecosystems, not just Python<br></div>- exactly which packages are interesting will depend on the user audience you're targeting<br><div class="gmail_quote">- the tolerance for API breakage will also vary based on the audience you're targeting<br><div class="gmail_quote">- you'll often want to be able to carry patches that aren't present in the upstream components<br></div><div class="gmail_quote">- you'll need to decide which target platforms you want to support<br></div><br></div><div class="gmail_quote">If a curation community *isn't* doing any of those things, then it isn't adding a lot of value beyond folks just doing DIY integration in their CI system by pinning their dependencies to particular versions.<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">As far as the comments about determining dependencies goes, the way pip does it generally works fine, you just need a sandboxed environment to do the execution, and both redistributors and open source information providers like <a href="http://libraries.io">libraries.io</a> are actively working on automating that process (coping with packages as they exist on PyPI today, rather than relying on the upstream community to change anything about the way Python packaging works).<br></div><br><div class="gmail_quote">Cheers,<br></div><div class="gmail_quote">Nick.<br></div><br>-- <br><div class="gmail_signature">Nick Coghlan   |   <a href="mailto:ncoghlan@gmail.com" target="_blank">ncoghlan@gmail.com</a>   |   Brisbane, Australia</div>
</div></div>