<div dir="auto">Even if no maintenance were required, it's still a feature that promises to provide security but doesn't. This kind of feature has negative value.<div dir="auto"><br></div><div dir="auto">I'd also suggest adding a small note to the PEP documenting that the signing feature didn't work out, and maybe linking to Donald's package signing blog post. I know updating PEPs isn't the most common thing, but it's the main documentation of the wheel format and it'll save confusion later.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mar 22, 2018 10:57 AM, "Wes Turner" <<a href="mailto:wes.turner@gmail.com">wes.turner@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">What maintenance is required?<div><br></div><div>Here's a link to the previous discussion of this issue:</div><div><br></div><div>"Remove or deprecate wheel-signing features"</div><div><a href="https://github.com/pypa/wheel/issues/196" target="_blank">https://github.com/pypa/wheel/<wbr>issues/196</a></div><div><br></div><div>What has changed? There is still no method for specifying a keyring; whereas with GPG, all keys in the ring are trusted.<br><br>On Thursday, March 22, 2018, Nick Coghlan <<a href="mailto:ncoghlan@gmail.com" target="_blank">ncoghlan@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 22 March 2018 at 22:35,  <span dir="ltr"><<a href="mailto:alex.gronholm@nextday.fi" target="_blank">alex.gronholm@nextday.fi</a>></span> wrote: <br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>I am not changing the format of RECORD, I'm simply removing the<br></div></div>
cryptographic signing and verifying functionality, just the way you<br>
described. Hash checking will stay. As we agreed earlier, those<br>
features could be deprecated or removed from the PEP entirely.<br></blockquote><div><br></div></div>Cool, that's what I thought you meant, but I figured I should double check since our discussion was a while ago now :)<br><br></div><div class="gmail_extra">Cheers,<br></div><div class="gmail_extra">Nick.<br clear="all"></div><div class="gmail_extra"><br>-- <br><div data-smartmail="gmail_signature">Nick Coghlan   |   <a href="mailto:ncoghlan@gmail.com" target="_blank">ncoghlan@gmail.com</a>   |   Brisbane, Australia</div>
</div></div>
</blockquote></div>
<br>______________________________<wbr>_________________<br>
Distutils-SIG maillist  -  <a href="mailto:Distutils-SIG@python.org">Distutils-SIG@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/distutils-sig" rel="noreferrer" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/distutils-sig</a><br>
<br></blockquote></div></div>