<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Aug 27, 2024 at 10:25 AM Severin Gehwolf <<a href="mailto:sgehwolf@redhat.com">sgehwolf@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, 2024-08-27 at 07:36 +0100, Alan Bateman wrote:<br>
> Probably time to have another go as dropping signed JAR support from<br>
> the class path and module path as it's too troublesome and don't do<br>
> what people think.<br>
<br>
+1<br></blockquote><div><br></div><div>+1 as well, from a point of view of Quarkus we also observed much overhead with signed JARs, a cost that comes with unclear benefits.</div><div><br></div><div>I hoped to skip such processing in our custom classloaders for efficiency reasons, but doing this solely at our layer w/o endorsement of the JDK is problematic; part of this is implementation related, a little tricky to do, but primarily I backed off as I didn't feel comfortable in taking away this capability from our users w/o being able to point to an authority like Alan stating here clearly that it's "not that useful".</div><div><br></div><div>I'd be happy to see it fully dropped, but if that can't be done quickly, I'd also be happy to use an opt-in flag to get this moving and foster rapid feedback. We would have frameworks like Quarkus set such a flag by default, advertise this change in our communities and let you know of any complaints.</div><div><br></div><div>Thanks,</div><div>Sanne</div><div><br></div></div></div>