<div dir="ltr">+1 to pinning to the Y release.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jul 30, 2019 at 8:41 AM Tatiana Tereshchenko <<a href="mailto:ttereshc@redhat.com">ttereshc@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>+1 to pin dependencies and use dependabot</div><div><br></div><div>If we were to pin to Z releases, then we'd need to release pulp 3 package with any Z release of any dependency we pin.</div><div>And in case of any [security] fix in any dependency, users would need to wait for us to release pulp with updated dependency version.</div><div><br></div><div>If my logic above is correct, I'm +1 to pin to Y releases. I think most (if not all) breaking changes we observed were in the Y releases.<br></div><div><br></div><div>Tanya<br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 26, 2019 at 7:40 PM Brian Bouterse <<a href="mailto:bbouters@redhat.com" target="_blank">bbouters@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">+1. This brings increased stability to Pulp users, and keeps Pulp forward compatible with all dependency releases. It's the best of both worlds and automated!<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 26, 2019 at 12:33 PM Dennis Kliban <<a href="mailto:dkliban@redhat.com" target="_blank">dkliban@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>+1 <br></div><div><br></div><div>I really like that there is automation to help us update the deps. If the PR from dependabot passes CI, we can just merge. Otherwise we will file an issue. <br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jul 26, 2019 at 11:38 AM David Davis <<a href="mailto:daviddavis@redhat.com" target="_blank">daviddavis@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Recently, Pulp 3 package installs were broken by a new version of DRF which necessitated a new release of pulpcore (RC4)[0]. Our releases are fragile and unstable because they don't pin versions of dependencies.<div><br></div><div>I was thinking of a new strategy whereby we pin pulpcore's dependencies to specific versions (either y or z releases) and we use something like dependabot[1] to notify us of new updates for pulpcore dependencies. It looks like it'll open new PRs when it detects a dependency is out of date.</div><div><br></div><div>The one downside I do see is that dependabot PRs could be ignored. However, I think the stability of our releases outweighs this potential risk especially as we get closer to GA.</div><div><br></div><div>Thoughts?<br><div><br></div><div>[0] <a href="https://www.redhat.com/archives/pulp-dev/2019-July/msg00076.html" target="_blank">https://www.redhat.com/archives/pulp-dev/2019-July/msg00076.html</a></div><div>[1] <a href="https://dependabot.com/" target="_blank">https://dependabot.com/</a><br clear="all"><div><div dir="ltr" class="gmail-m_-3201173990920429744gmail-m_-4930622999720140609gmail-m_-8066950196580578194gmail-m_5839307337878274051gmail-m_-666223263542684101gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div><div>David<br></div></div></div></div></div></div></div></div></div></div></div>
_______________________________________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com" target="_blank">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-dev</a><br>
</blockquote></div>
_______________________________________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com" target="_blank">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-dev</a><br>
</blockquote></div>
_______________________________________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com" target="_blank">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-dev</a><br>
</blockquote></div>
_______________________________________________<br>
Pulp-dev mailing list<br>
<a href="mailto:Pulp-dev@redhat.com" target="_blank">Pulp-dev@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-dev" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-dev</a><br>
</blockquote></div>