<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Jan 22, 2017 at 8:05 AM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Anyone want to bet on how many pre-build jar files, signed years ago with MD5 or short RSA keys, are out there in Maven repositories, waiting to cause build and run-time failures all over the planet?  How many of them will turn out to have long-lost source trees, or will have source trees that can no longer be built because the tooling around them has deteriorated?</blockquote><div><br></div><div>People who rely on pre-built binaries from maven repos will simply get what they deserve.</div><div><br></div><div>/ji </div></div></div></div>