
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le jeu. 9 avr. 2020 à 08:48, Alessandro Pasotti <<a href="mailto:apasotti@gmail.com">apasotti@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>

<br>

Sorry, but I didn't understand what's the real issue here: the<br>

no-binary policy was enforced on the official plugins repo in order<br>

to:<br>

- make sure we don't have to host huge plugins to store/upload and download<br>

- make sure we can inspect what's inside a plugin (for years we<br>

discussed about doing more automatic validation on the python code<br>

looking for malicious code)<br>

<br>

There are actually a really simple workaround for whoever wanted to<br>

distribute plugins with binaries, viruses, windows95 DLLs etc.:<br>

<br>

- 1 download and install your forbidden binaries directly from your<br>

plugin right after your plugin is installed<br>

<br>

Or, a slightly more complicated solution:<br></blockquote><div><br></div><div>are you serious ? ;)</div><div>isn't it a proof, that it's completely useless to try to enforce rules?</div><div>or should there be a rule that prevent plugins from adding additional repos?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>

- 1 make your own repo (it's trivial, believe me, there are ton of<br>

recipes with dockers, python implementations, simple scripts etc.)<br>

- 2 make a legitimate plugin that<br>

   - 2.1 add your repo to the QGIS list of repos<br>

   - 2.2 installs the forbidden plugin which contains your binaries<br>

- 3 upload the legitimate plugin on the official repo<br>

- 4 profit!<br>

<br>

<br>

Cheers<br>

<br>

<br>

<br>

On Thu, Apr 9, 2020 at 7:37 AM Matthias Kuhn <<a href="mailto:matthias@opengis.ch" target="_blank">matthias@opengis.ch</a>> wrote:<br>

><br>

> Hi Alessandro,<br>

><br>

> Thank you for jumping in and also for including <a href="https://plugins.qgis.org/publish/" rel="noreferrer" target="_blank">https://plugins.qgis.org/publish/</a> in the discussion.<br>

><br>

> For clarity: currently "no binaries" is listed as a requirement while "cross platform" is a recommendation.<br>

><br>

> Regards<br>

> Matthias<br>

><br>

> On 4/8/20 6:01 PM, Alessandro Pasotti wrote:<br>

><br>

> The no-binary policy in the official repository has been enforced and listed since day 1 , see <a href="https://plugins.qgis.org/publish/" rel="noreferrer" target="_blank">https://plugins.qgis.org/publish/</a><br>

><br>

> I'm not sure if the other rule about cross-platform has been written down somewhere, I've always taken that one for granted.<br>

><br>

> I see no problems if a plug-in does its post-installation downloads though.<br>

><br>

> Just my two cents.<br>

><br>

><br>

><br>

> On Wed, Apr 8, 2020, 17:44 Matthias Kuhn <<a href="mailto:matthias@opengis.ch" target="_blank">matthias@opengis.ch</a>> wrote:<br>

>><br>

>> Hi Paolo<br>

>><br>

>> On 4/8/20 4:55 PM, Paolo Cavallini wrote:<br>

>> > Hi Matthias,<br>

>> ><br>

>> > Il 08/04/20 16:32, Matthias Kuhn ha scritto:<br>

>> >> Hi Paolo,<br>

>> >><br>

>> >> Thanks for moving forward and writing some reasoning.<br>

>> >><br>

>> >> I would like to change the wording "current situation" and "status quo<br>

>> >> committee" in these texts. This suggests that there has been a conscious<br>

>> >> decision by a committee like the PSC. I'd rather describe it as a<br>

>> >> "currently unclear situation".<br>

>> > the current situation is not unclear. I think it is fair to give a<br>

>> > minimal context, describing how things are running since many years;<br>

>> > "current situation" sounds very neutral to me.<br>

>> > Maybe someone can suggest a more neutral wording?<br>

>> I still think this was mostly a vision of individuals and not a general<br>

>> perception of how it is/should be handled. I was *very* surprised to<br>

>> hear that this is the current situation and I think it was and is<br>

>> unclear to others too. I also wouldn't be surprised to find a couple of<br>

>> binary wheels and plugins which are not cross-platform - but nobody ever<br>

>> noticed - in the repository.<br>

>> > I though about the name to give to the "non-pro" committee. I avoided<br>

>> > "against committee", because it sounds ugly to me, and gives a negative<br>

>> > impression.<br>

>> > Perhaps we can skip the problem just replacing "* committee" with "We"?<br>

>> > Thanks for the suggestion.<br>

>> > Cheers.<br>

>><br>

>> I'm fine with dumping the term "pro committee" formulation. But that's<br>

>> not the point.<br>

>><br>

>> My main point is that "the status quo" as listed is not as clear to<br>

>> everyone as described in the text. Or is it really that clear to<br>

>> everyone? I would love to hear some other opinions of community<br>

>> representatives and PSC members on this.<br>

>><br>

>> Matthias<br>

>><br>

>> _______________________________________________<br>

>> Qgis-psc mailing list<br>

>> <a href="mailto:Qgis-psc@lists.osgeo.org" target="_blank">Qgis-psc@lists.osgeo.org</a><br>

>> <a href="https://lists.osgeo.org/mailman/listinfo/qgis-psc" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-psc</a><br>

<br>

<br>

<br>

-- <br>

Alessandro Pasotti<br>

w3:   <a href="http://www.itopen.it" rel="noreferrer" target="_blank">www.itopen.it</a><br>

_______________________________________________<br>

Qgis-psc mailing list<br>

<a href="mailto:Qgis-psc@lists.osgeo.org" target="_blank">Qgis-psc@lists.osgeo.org</a><br>

<a href="https://lists.osgeo.org/mailman/listinfo/qgis-psc" rel="noreferrer" target="_blank">https://lists.osgeo.org/mailman/listinfo/qgis-psc</a></blockquote></div></div>