<div dir="ltr"><div dir="ltr">On Fri, Mar 28, 2025 at 2:55 PM kpcyrd <<a href="mailto:kpcyrd@archlinux.org">kpcyrd@archlinux.org</a>> wrote:</div><div class="gmail_quote gmail_quote_container"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 3/28/25 7:18 AM, Marc Haber wrote:<br>
> I think that Debian should not let itself be pulled into that argument <br>
> twice a month.<br>
<br>
+1 (although I can't find the other discussion in the mailing list archive).<br>
<br>
> If we did remove that firmware from our live images that would <br>
> cause especially new users to shrug it off like "oh, Debian doesn't <br>
> work" and move on to an even less free operating system.<br>
<br>
A very long time ago when I switched from Windows to Debian as my first <br>
Linux distro I also had the "why is my wifi not working"-experience (and <br>
hated it, as this was my only computer because I was too poor to afford <br>
a second one I could experiment with, and phones weren't what they are <br>
these days).<br>
<br>
> I move that Debian classifies such crossfire from the FSF, Trisquel etc <br>
> as trolling and not discuss that any more. We just had that argument two <br>
> weeks ago for the most recent time. It is a waste of time. We are never <br>
> going to do everything right from the FSF's point of view.<br>
<br>
Since this is posted on a list that is mostly used for supply-chain <br>
security discussion, I think it's unfortunate how blobs are singled out <br>
as "this build input is difficult to review because it's not human <br>
readable", yet xz has shown we aren't really reviewing human readable <br>
build inputs either (or at least we aren't successful and too easily <br>
clowned by our own tools).<br></blockquote><div><br></div><div>Might be worth highlighting that the xz exploit payload was embedded in a checked-in binary blob (test file). Not sure I'd consider those "human readable" inputs.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
There's whatsrc that attempts to keep track of what those build inputs <br>
are (and trying to establish identifiers), in the Rust ecosystem there's <br>
cargo-crev that's tracking who has read/reviewed which source code <br>
(instead of just blogging about findings and staying silent about <br>
everything else), but there are not enough people doing reviews[0] and <br>
that's about it.<br>
<br>
[0]: <a href="https://web.crev.dev/rust-reviews/reviewers/" rel="noreferrer" target="_blank">https://web.crev.dev/rust-reviews/reviewers/</a><br>
<br>
I wish we were in the timeline of binary blobs being the actual problem <br>
instead of there not being enough interest/incentives to review build <br>
inputs.<br>
<br>
(I obviously still believe connecting binaries to source code with <br>
reproducible builds as much as possible is useful).<br>
<br>
> Just curious, do Ubuntu and Mint get the same amount of "it's not free!" <br>
> whining than Debian does?<br>
<br>
Arch Linux doesn't, but maybe it's because having discord in the package <br>
repositories is great for managing expectations. People usually <br>
appreciate our great hardware support.<br>
<br>
cheers,<br>
kpcyrd<br>
</blockquote></div></div>