<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Why not? It's a simple mechanism, anyone can do it, and anyone can add<br>
trusted libraries to their blessed list. All that crypto-signing does is<br>
add another layer of robustness.<br>
</blockquote><div><br></div><div>What I meant is that the signature itself is not that important, what is important is that you can reliably identify a library. However, you don't really need all the guarantees a signature gives you for this. It is enough, if you read some properties from the manifest like vendor, etc. and trust it. In fact, it might even tells you more, because if not any manifest entry can be used, then you could tell from the presence of the manifest entry that people considered that these properties will be used for access rights (unlike signatures, because all libraries in Maven central are signed).</div><div> </div></div></div>