<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 26/08/13 10:32, Jens Axel Søgaard
      wrote:<br>
    </div>
    <blockquote
cite="mid:CABefVgxDbpxVawaKaaifRXW_2s+C8szhG7RZRmtjOka7zDY5-A@mail.gmail.com"
      type="cite">
      <div dir="ltr"><span
          style="font-family:arial,sans-serif;font-size:15.555556297302246px">&gt;
          One easy improvement, when using github, is to allow/ensure
          package owners point to a</span><br
          style="font-family:arial,sans-serif;font-size:15.555556297302246px">
        <span
          style="font-family:arial,sans-serif;font-size:15.555556297302246px">&gt;
          specific release/tag .zip file and not worry about the
          checksum as nothing is going to</span><br
          style="font-family:arial,sans-serif;font-size:15.555556297302246px">
        <span
          style="font-family:arial,sans-serif;font-size:15.555556297302246px">&gt;
          change until a new release/tag is specified.</span>
        <div><br>
        </div>
        <div>It is not as easy as it seems. Let's say I write module A
          which uses specific versions of packages B and C.</div>
        <div>Packages B and C both use package D. Here is the twist:
          package B is written to use the latest version of </div>
        <div>package D and C uses version 42.</div>
        <div><br>
        </div>
        <div>Now package D is updated. The checksums of B and C do not
          change, but the behavior of B might.</div>
      </div>
    </blockquote>
    <br>
    I understand the scenario that you are explaining and it illustrates
    a further problem: If two packages rely on the api<br>
    of different checksumed packages, one is going to lose out under the
    new package manager as they will both<br>
    have to use the same release of a package, which may have a
    different and incompatible api to that expected.<br>
    <br>
    My proposal to point to a specific release is actually a moot point
    as I noticed from Jay McCarthy's reply that this<br>
    can be done and indeed I had forgotten that this was mentioned in
    the docs.  I have now updated the source<br>
    for my package xdgbasedir to point to the latest tag that I wanted
    to release.<br>
    <br>
    <br>
    Lorry<br>
    <br>
    <pre class="moz-signature" cols="72">-- 
vLife Systems Ltd
Registered Office: The Meridian, 4 Copthall House, Station Square, Coventry, CV1 2FL
Registered in England and Wales No. 06477649
<a class="moz-txt-link-freetext" href="http://vlifesystems.com">http://vlifesystems.com</a>
</pre>
  </body>
</html>