<div dir="ltr"><div>Dear list,</div><div>Following up on this discussion.</div><div><br></div><div>I've took on the task of maintaining the vendoring plugin started by Tristan (thank you for doing so and for your availability). I've started maintaining it now and have modified to meet my needs.</div><div><br></div><div>I don't know how many of you vendor their dependencies, but this will allow you to do so.</div><div><br></div><div>rebar3_vendor  v0.3.0 has just been released and can be found here:</div><div><a href="https://hex.pm/packages/rebar3_vendor">https://hex.pm/packages/rebar3_vendor</a><br></div><div><a href="https://github.com/ostinelli/rebar3_vendor">https://github.com/ostinelli/rebar3_vendor</a></div><div><br></div><div>Best,</div><div>r. </div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 25, 2016 at 1:16 PM, Eric Meadows-Jönsson <span dir="ltr"><<a href="mailto:eric.meadows.jonsson@gmail.com" target="_blank">eric.meadows.jonsson@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span class=""><span style="font-size:12.8px">Hex.pm does not allow users to remove or overwrite published packages so the issue that happened with npm cannot happen. Packages will only be removed in very special circumstances, such as us being forced to do so for legal reasons and even then we will of course not allow a new package to be published with the removed's package name.</span><br style="font-size:12.8px"><div style="font-size:12.8px"><br></div></span><div style="font-size:12.8px">Rebar and Mix will also add package checksums to the lock so if you don't trust the Hex repository you are using you can at least trust the checksum check. Additionally, over the next days I will work on improving and documenting <a href="http://hex.pm" target="_blank">hex.pm</a>'s policies so that it will hopefully be clear how we will act in circumstances such as these.</div></div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Wed, Mar 23, 2016 at 1:47 PM, Roberto Ostinelli <span dir="ltr"><<a href="mailto:roberto@widetag.com" target="_blank">roberto@widetag.com</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div class="gmail_extra">On the subject on additional reasons to vendor dependencies:</div><div class="gmail_extra"><a href="http://www.theregister.co.uk/2016/03/23/npm_left_pad_chaos/" target="_blank">http://www.theregister.co.uk/2016/03/23/npm_left_pad_chaos/</a><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">BTW, not saying this can happen with <a href="http://hex.pm" target="_blank">hex.pm</a>.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Best,</div><div class="gmail_extra">r.</div><div class="gmail_extra"><br></div></div>
<br></div></div><span class="">_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div>Eric Meadows-Jönsson</div>
</font></span></div>
<br>_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br></blockquote></div><br></div>