<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Mar 24, 2014 at 8:54 AM, Thierry Carrez <span dir="ltr"><<a href="mailto:thierry@openstack.org" target="_blank">thierry@openstack.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">See the discussion @ <a href="https://review.openstack.org/#/c/70750/" target="_blank">https://review.openstack.org/#/c/70750/</a><br>

<br>
I think this is not an acceptable change for the stable branch. We<br>
promise a "safe source of fixes", which means seamless upgrades that do<br>
not require extra actions for followers of the stable branch. IMHO<br>
replacing a library dependency by another library requires extra actions<br>
to be taken on the deployer side (making sure you have the new<br>
dependency packaged / present), so it's out of line.<br>
<br>
Now I hear the pressure from the distributions which have already ripped<br>
out oauth2 -- the change is indeed harmless and desirable for them. But<br>
I still think we'd break our promise for a safe source of fixes to every<br>
user of the stablebranch if we accepted that patch.<br>
<br>
In that case it seems fair for distributions which want to replace<br>
oauth2 with a safer alternative to carry a specific patch.<br>
<br>
Thoughts ? Do we have past examples of introducing new deps in stable<br>
branch updates ?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Thierry Carrez (ttx)<br>
<br>
_______________________________________________<br>
Openstack-stable-maint mailing list<br>
<a href="mailto:Openstack-stable-maint@lists.openstack.org">Openstack-stable-maint@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-stable-maint" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-stable-maint</a><br>
</font></span></blockquote></div><br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">I tend to agree that a dependency change like this is "too big." OTOH, do we have any security ramifications for leaving the code as-is? Would it make sense to try to figure out which library is available and use it, rather than requiring one or the other?</div>
<br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">Doug</div><div class="gmail_default" style="font-size:small"></div><br></div></div>