<div>Ceki, </div>
<div>I&#39;ve raised the bug report upon your suggestion. <a href="http://bugzilla.slf4j.org/show_bug.cgi?id=183">Bug#183</a></div>
<div> </div>
<div>However, I still request you to specify the md5/sha1 checksums on your site.</div>
<div> </div>
<div>This will help us to atleast convince our security team that, integrity of the downloaded files can be verified.</div>
<div> </div>
<div>Please do the needful.</div>
<div>Thanks,</div>
<div>Elisha Ebenezer.<br><br></div>
<div class="gmail_quote">On Wed, May 12, 2010 at 2:44 PM, Ceki Gülcü <span dir="ltr">&lt;<a href="mailto:ceki@qos.ch">ceki@qos.ch</a>&gt;</span> wrote:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hello Elisha,<br><br>I can&#39;t immediately add signatures to our jars. However, please enter<br>a bug report and I&#39;ll look into it. 
<div class="im"><br><br>On 12/05/2010 10:03 AM, Elisha Ebenezer wrote:<br></div>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hi Ceki, 
<div class="im"><br>Can you please provide us an update on when can we expect the<br>slf4j (and logback) shipped as signed jars. And also, please consider<br>publishing md5/sha1 checksums on your site.<br>This would help us to push for using slf4j in security-conscious<br>
organizations.<br>Thanks,<br>Elisha Ebenezer<br><br>On Sat, May 8, 2010 at 8:44 PM, Joern Huxhorn &lt;<a href="mailto:jhuxhorn@googlemail.com" target="_blank">jhuxhorn@googlemail.com</a><br></div>
<div>
<div></div>
<div class="h5">&lt;mailto:<a href="mailto:jhuxhorn@googlemail.com" target="_blank">jhuxhorn@googlemail.com</a>&gt;&gt; wrote:<br><br>  Â Hi Jeff,<br><br>  Â thank you very much for this information and your article! I wasn&#39;t<br>
  Â aware of this plugin.<br><br>  Â I just changed my build process for Lilith accordingly.<br>  Â See<br>  Â <a href="http://github.com/huxi/lilith/commit/c2689ee57b263c6a2cb6241547a991703354bc6f" target="_blank">http://github.com/huxi/lilith/commit/c2689ee57b263c6a2cb6241547a991703354bc6f</a><br>
<br>  Â I had to jump through some loops, though, since I have gpg2 instead<br>  Â of gpg:<br><br>  Â The following two properties had to be added to my pom:<br>  Â &lt;gpg.useagent&gt;true&lt;/gpg.useagent&gt;<br>  Â &lt;gpg.keyname&gt;740A1840&lt;/gpg.keyname&gt;<br>
<br>  Â The first one makes sure that gpg isn&#39;t complaining about an invalid<br>  Â option (--no-use-agent was removed in gpg2) and doesn&#39;t ask for a<br>  Â passphrase anymore.<br>  Â This was quite tricky since the documentation of maven-gpg-plugin<br>
  Â says that it&#39;s called useAgent, which it isn&#39;t!<br><br>  Â The second one selects the correct key used for the signature -<br>  Â which is a good idea if you have more than one.<br><br>  Â I wanted to comment on your article but, unfortunately, comments are<br>
  Â disabled.<br><br>  Â Cheers,<br>  Â Joern.<br><br>  Â On 08.05.2010, at 03:23, Jeff Jensen wrote:<br><br></div></div>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div>
<div></div>
<div class="h5">  Â It is best if the artifacts are signed. Â Sometime in the near<br>  Â future, Central/Nexus will not accept artifacts without being signed.<br>  Â This would prove the source for you more than the hashes.<br>
  Â Ceki: you should start signing the release artifacts. Â It is very<br>  Â easy - I’ve done it already on a few products and Sonatype has a<br>  Â very good page describing how. Â Maven will do it automatically for<br>  Â you:<br>
  Â <a href="http://www.sonatype.com/people/2010/01/how-to-generate-pgp-signatures-with-maven" target="_blank">http://www.sonatype.com/people/2010/01/how-to-generate-pgp-signatures-with-maven</a><br>  Â *From:* <a href="mailto:slf4j-user-bounces@qos.ch" target="_blank">slf4j-user-bounces@qos.ch</a><br>
  Â &lt;mailto:<a href="mailto:slf4j-user-bounces@qos.ch" target="_blank">slf4j-user-bounces@qos.ch</a>&gt;<br>  Â [mailto:<a href="mailto:slf4j-user-bounces@qos.ch" target="_blank">slf4j-user-bounces@qos.ch</a><br>  Â &lt;mailto:<a href="mailto:slf4j-user-bounces@qos.ch" target="_blank">slf4j-user-bounces@qos.ch</a>&gt;] *On Behalf Of *Joern Huxhorn<br>
  Â *Sent:* Friday, May 07, 2010 3:50 AM<br>  Â *To:* User list for the slf4j project<br>  Â *Subject:* Re: [slf4j-user] Signatures for verifying Slf4j<br>  Â One solution could be the use of signed tags for SLF4J and Logback.<br>
  Â That way it would be possible to pull the git repository, check<br>  Â the signature of the tag and build SLF4J and Logback yourself<br>  Â afterwards.<br>  Â I think the MD5 and SHA1 of Maven repository are merely a way to<br>
  Â prevent corrupted files, not an actual security feature.<br>  Â Cheers,<br>  Â Joern.<br>  Â On 07.05.2010, at 09:26, Elisha Ebenezer wrote:<br><br><br>  Â Hi Ceki,<br>  Â I&#39;m trying to push to use Slf4j and logback in our project and my<br>
  Â company wants me to get the MD5 or SHA1 hashes or the code-signing<br>  Â certs to verify the integrity of downloaded files.<br><br></div></div>  Â Though <a href="http://repo1.maven.org/" target="_blank">repo1.maven.org</a> &lt;<a href="http://repo1.maven.org/" target="_blank">http://repo1.maven.org/</a>&gt; site provides the 
<div class="im"><br>  Â hashes, we are not sure whether the war and the hash are uploaded<br>  Â by genuine party or not.<br><br>  Â As you are the owner of the project, I request you to kindly<br>  Â publish the hashes or certs on website&#39;s download page.. which can<br>
  Â be cross-checked with the downloaded war and/or also with the<br>  Â maven repository.<br><br>  Â Kindly do the needful and oblige.<br><br>  Â Thanks,<br>  Â Elisha Ebenezer. _______________________________________________<br>
</div></blockquote></blockquote>
<div>
<div></div>
<div class="h5"><br>_______________________________________________<br>slf4j-user mailing list<br><a href="mailto:slf4j-user@qos.ch" target="_blank">slf4j-user@qos.ch</a><br><a href="http://qos.ch/mailman/listinfo/slf4j-user" target="_blank">http://qos.ch/mailman/listinfo/slf4j-user</a></div>
</div></blockquote></div><br>