<div dir="auto">Just observing the discussion and no expert but…</div><div dir="auto"><br></div><div dir="auto">It sounds like this is about security and restrictions of native libraries.  </div><div dir="auto"><br></div><div dir="auto">Not saying it’s any better or worse but wasn’t that what the depreciated/removed SecurityManager expected to do?</div><div dir="auto"><br></div><div dir="auto">Eric Bresie </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 7, 2023 at 8:55 AM Attila Kelemen <<a href="mailto:attila.kelemen85@gmail.com">attila.kelemen85@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">Why not? It's a simple mechanism, anyone can do it, and anyone can add<br>
trusted libraries to their blessed list. All that crypto-signing does is<br>
add another layer of robustness.<br>
</blockquote><div><br></div><div>What I meant is that the signature itself is not that important, what is important is that you can reliably identify a library. However, you don't really need all the guarantees a signature gives you for this. It is enough, if you read some properties from the manifest like vendor, etc. and trust it. In fact, it might even tells you more, because if not any manifest entry can be used, then you could tell from the presence of the manifest entry that people considered that these properties will be used for access rights (unlike signatures, because all libraries in Maven central are signed).</div><div> </div></div></div>
</blockquote></div></div>