<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">2013/9/4 Adrian Knoth <span dir="ltr"><<a href="mailto:adi@drcomp.erfurt.thur.de" target="_blank">adi@drcomp.erfurt.thur.de</a>></span><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 08/24/2013 10:48 AM, <a href="mailto:mira-guest@users.alioth.debian.org">mira-guest@users.alioth.debian.org</a> wrote:<br>

<br>
Hi!<br>
<div class="im"><br>
<br>
> commit 9a0cdc0c43b2174759f6e342d811ad801a70d24a<br>
> Author: Jaromír Mike¹ <<a href="mailto:mira.mikes@seznam.cz">mira.mikes@seznam.cz</a>><br>
> Date:   Sat Aug 24 10:50:18 2013 +0200<br>
><br>
>     Don't sign tags.<br>
><br>
> diff --git a/debian/gbp.conf b/debian/gbp.conf<br>
> index 2c53314..8dd9bb3 100644<br>
> --- a/debian/gbp.conf<br>
> +++ b/debian/gbp.conf<br>
> @@ -1,8 +1,5 @@<br>
> -# Configuration file for git-buildpackage and friends<br>
> -<br>
>  [DEFAULT]<br>
>  pristine-tar = True<br>
> -sign-tags = True<br>
<br>
</div>Why? I thought signing the import and release tags helps us establishing<br>
a trust chain from the source to the final package.<br>
<br>
If I sign the import, I'm saying "It was really me, it's not fake, and I<br>
think it's the correct source code. Blame me if it isn't."<br>
<br>
Same for the release tag: "I've reviewed the changes and feel<br>
comfortable with all of them. I'm the maintainer, I've double-checked<br>
everything."<br>
<br>
<br>
<br>
Just wondering..</blockquote><div><br></div><div>It has been discussed here <br><a href="http://lists.alioth.debian.org/pipermail/pkg-multimedia-maintainers/2013-June/032853.html">http://lists.alioth.debian.org/pipermail/pkg-multimedia-maintainers/2013-June/032853.html</a><br>
<br></div><div>regards<br><br></div><div>mira   <br></div></div><br></div></div>