<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> In fact, it might even tells you more, because if not any manifest entry can be used, then you could tell from the presence of the manifest entry that people considered that these properties will be used for access rights (unlike signatures, because all libraries in Maven central are signed).<br>
<br>
I can't understand the meaning of this sentence.<br>
<br>
It's not necessary to trust the Maven central signature.<br></blockquote><div><br></div><div>Basically I just meant that having a signature is a pretty low bar (because 100% of the libs in Maven Central have it). I'm not trying to imply that you thought it is a high bar, just wanted to clarify, if someone considered that a bonus. And that having manifest entries specifically added for the purpose of granting native access based on them is a higher bar, because it requires more conscious consideration from the library. That is, it is not just there by chance like a signature.</div></div></div>