<div dir="ltr">In light of all of the effort to mitigate and/or track supply chain vulnerabilities, and the fact that you are currently using pgp, perhaps you should also sign your git commits?<div><br></div><div><pre style="margin-top:0px;padding:12px;border:0px;font-variant-numeric:inherit;font-variant-east-asian:inherit;font-stretch:inherit;line-height:1.30769;font-size:13px;vertical-align:baseline;box-sizing:inherit;width:auto;max-height:600px;overflow:auto;border-radius:5px"><code style="margin:0px;padding:0px;border:0px;font-style:inherit;font-variant:inherit;font-weight:inherit;font-stretch:inherit;line-height:inherit;vertical-align:baseline;box-sizing:inherit;background-color:transparent;white-space:inherit;border-radius:0px">git config --global user.signingKey <your-long-form-gpg-key>
git config --global commit.gpgSign true</code></pre><div><a href="https://docs.github.com/en/github/authenticating-to-github/managing-commit-signature-verification/signing-commits">https://docs.github.com/en/github/authenticating-to-github/managing-commit-signature-verification/signing-commits</a><br></div><div><br><div><br></div><div>- Joakim</div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 8, 2021 at 7:42 AM Ceki <<a href="mailto:ceki@qos.ch">ceki@qos.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Hi Elisha,<br>
<br>
<br>
All SLF4J artifacts published on Maven central are signed. For each<br>
artifact, there is an associated signature file with the<br>
".asc" suffix.<br>
<br>
To verify the signature use the key found at<br>
<br>
<a href="http://www.slf4j.org/public-keys/ceki-public-key.pgp" rel="noreferrer" target="_blank">www.slf4j.org/public-keys/ceki-public-key.pgp</a>. It has the<br>
following fingerprint:<br>
<br>
pub   2048R/A511E325 2012-04-26<br>
Key fingerprint = 475F 3B8E 59E6 E63A A780  6748 2C7B 12F2 A511 E325<br>
uid   Ceki Gulcu &<a href="mailto:lt%3Bceki@qos.ch" target="_blank">lt;ceki@qos.ch</a>><br>
sub   2048R/7FBFA159 2012-04-26<br>
<br>
See gnupg documentation on how to verify signatures.<br>
<br>
Best regards,<br>
<br>
--<br>
Ceki Gülcü<br>
<br>
On 07.05.2010 09:26, Elisha Ebenezer wrote:<br>
> Hi Ceki,<br>
> I'm trying to push to use Slf4j and logback in our project and my <br>
> company wants me to get the MD5 or SHA1 hashes or the code-signing certs <br>
> to verify the integrity of downloaded files.<br>
> <br>
> Though <a href="http://repo1.maven.org" rel="noreferrer" target="_blank">repo1.maven.org</a> <<a href="http://repo1.maven.org" rel="noreferrer" target="_blank">http://repo1.maven.org</a>> site provides the <br>
> hashes, we are not sure whether the war and the hash are uploaded by <br>
> genuine party or not.<br>
> <br>
> As you are the owner of the project, I request you to kindly publish the <br>
> hashes or certs on website's download page.. which can be cross-checked <br>
> with the downloaded war and/or also with the maven repository.<br>
> <br>
> Kindly do the needful and oblige.<br>
> <br>
> Thanks,<br>
> Elisha Ebenezer.<br>
<br>
<br>
_______________________________________________<br>
slf4j-user mailing list<br>
<a href="mailto:slf4j-user@qos.ch" target="_blank">slf4j-user@qos.ch</a><br>
<a href="http://mailman.qos.ch/mailman/listinfo/slf4j-user" rel="noreferrer" target="_blank">http://mailman.qos.ch/mailman/listinfo/slf4j-user</a></blockquote></div>