<div dir="ltr">Recently, Pulp 3 package installs were broken by a new version of DRF which necessitated a new release of pulpcore (RC4)[0]. Our releases are fragile and unstable because they don't pin versions of dependencies.<div><br></div><div>I was thinking of a new strategy whereby we pin pulpcore's dependencies to specific versions (either y or z releases) and we use something like dependabot[1] to notify us of new updates for pulpcore dependencies. It looks like it'll open new PRs when it detects a dependency is out of date.</div><div><br></div><div>The one downside I do see is that dependabot PRs could be ignored. However, I think the stability of our releases outweighs this potential risk especially as we get closer to GA.</div><div><br></div><div>Thoughts?<br><div><br></div><div>[0] <a href="https://www.redhat.com/archives/pulp-dev/2019-July/msg00076.html">https://www.redhat.com/archives/pulp-dev/2019-July/msg00076.html</a></div><div>[1] <a href="https://dependabot.com/">https://dependabot.com/</a><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div><div>David<br></div></div></div></div></div></div></div></div></div></div></div>