
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>


</head>


<body dir="ltr">


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


Hi folks,</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


(Is it okay if I refer to GnuCash as GC?) Appologies in advance if not. 🙂</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


I was looking to build GC for Windows and I had some questions because I tend to be VERTy paranoid about what I install on my box.</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


I started looking at <a href="https://github.com/Gnucash/gnucash-on-windows" id="LPlnkOWA1ccc87e6-8d9c-d7ed-2967-d703edba1500" class="OWAAutoLink elementToProof">


Gnucash/gnucash-on-windows</a> and I noticed that at least some of the URLs where packages are downloaded are from HTTP not HTTPS urls.  It also appeared (without detailed investigation to verify) that the tarballs coming from these places also didn't have


 any hash-based or digital-signature verification.</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


The upshot of all this was I didn't feel very comfortable running the environment build scripts/tools because it looked like it would be downloading and running a lot of unverified tools and content on my machine.</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


So, I'm just wondering if this is something you have considered, or maybe even estimated how much work would be involved in tackling it?</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


Also (and I'm, not sure if this would tend to require fewer tool dependencies or not) - has anyone looked at whether it would be possible to build GC


<i>for</i> Windows _from_ WSL using the minwg packages available (e.g.) in Ubuntu?  </div>


<div class="elementToProof" style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">


<br>


</div>


<div id="Signature" class="elementToProof">


<div class="elementToProof">-Brad </div>


</div>


</body>


</html>