<div dir="ltr">Dan,<br><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 27, 2018 at 12:43 PM, Dan Kegel <span dir="ltr"><<a href="mailto:dank@kegel.com" target="_blank">dank@kegel.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Tue, Feb 27, 2018 at 7:41 AM, Bill Deegan <<a href="mailto:bill@baddogconsulting.com" target="_blank">bill@baddogconsulting.com</a>> wrote:<br>
> Any reason you wouldn't use virtualenv and pip install for your buildbot<br>
> install needs?<br>
<br>
</span>It is inherently dangerous to trust third party package repositories.<br>
I would like my build machines to be capable of running builds<br>
without randomly downloading crap from this, that, and the other<br>
marginally trustable third party collection of packages.<br>
<br>
Since I'm running Ubuntu, I already trust that one repository,<br>
and I'd like to draw the line there.<span class="m_2425217976135118105HOEnZb"><font color="#888888"><br></font></span></blockquote><div><br></div><div>That's a pretty restrictive point of view, but if that suites your security requirements.<br></div><div>You do realize that the debian packages are built from the same sources the pypi packages are (minus some minor packaging changes).  So in some sense the debian package is a third party package vs pypi (the primary distribution point for buildbot packages)<br> <br></div><div>I've been using pip installs of buildbot for probably as long as there have been such, on publicly facing webservers without any issues to date (knock on wood).<br></div><div>Pypi does keep track of pgp and md5 checksums on all the packages (well perhaps not pgp on all).<br><br></div><div>Buildbot (historically) has pretty good development pace and if you're stuck with only the debian packages of such you'll be out of date, and missing some nice improvements  (performance, security issues, and feature wise)<br><br></div><div>In general I agree that adding debian repo's willy nilly is not a wise move, installing from pypi using pip (at least for buildbot) is not as much of a risk.<br><br></div><div>Any one else have this concern with installing buildbot from pypi?<br></div><div><br></div><div>-Bill<br></div><div><br></div></div><br></div></div>