<div dir="ltr"><div dir="ltr">On Sat, Apr 6, 2024 at 4:23 AM Johannes Zarl-Zierl <<a href="mailto:johannes@zarl-zierl.at">johannes@zarl-zierl.at</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Am Freitag, 5. April 2024, 13:45:35 CEST schrieb Carl Schwan:<br>
> On Friday, April 5, 2024 12:04:28 PM CEST Albert Vaca Cintora wrote:<br>
> > - Tarballs should only be generated in a reproducible manner using<br>
> > scripts. Ideally by the CI only.<br>
> > - We should start to sign tarballs in the CI.<br>
> <br>
> I disagree. I want my tarball to be signed with my GPG key stored in my<br>
> Yubiky and not by a generic KDE key. It should be a proof that I as a<br>
> maintainer of a project did the release and not someone else. Same with the<br>
> upload to <a href="http://download.kde.org" rel="noreferrer" target="_blank">download.kde.org</a>, while this adds some overhead in the process, I<br>
> think it is important that KDE Sysadmins are the one who move the tarball<br>
> to their final location and do some minimal check (checksum match, it's not<br>
> a random person doing the release, ...).<br>
<br>
Signing with a KDE key could have some benefits, though. It's far easier for <br>
distros (or users) to check KDE software against a single, well known key.<br>
<br>
On could mitigate the downside that you mentioned by having the script check <br>
the tag signature against a keyring of trusted keys.<br></blockquote><div><br></div><div>Please see <a href="https://invent.kde.org/sysadmin/release-keyring/">https://invent.kde.org/sysadmin/release-keyring/</a> - our process for validating tarballs for release already includes ensuring the GPG signatures provided are included in that keyring.</div><div>All modern releases of KDE software that come with a GPG signature whose key is not in that keyring should be rejected.</div><div><br></div><div>Developers should also consider adding their keys to Gitlab at <a href="https://invent.kde.org/-/profile/gpg_keys">https://invent.kde.org/-/profile/gpg_keys</a></div><div>Following this, your GPG key will be published at <a href="https://invent.kde.org/$username.gpg">https://invent.kde.org/$username.gpg</a></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Cheers,<br>
  Johannes</blockquote><div><br></div><div>Cheers,</div><div>Ben</div></div></div>