<div dir="ltr">On Tue, Jul 2, 2013 at 11:37 PM, Matt Turner <span dir="ltr"><<a href="mailto:mattst88@gmail.com" target="_blank">mattst88@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, Jul 2, 2013 at 1:02 PM, Ian Romanick <<a href="mailto:idr@freedesktop.org">idr@freedesktop.org</a>> wrote:<br>

> 2. Instead of just posting md5sum for the release tarballs, I think we<br>
> should start GPG signing them.  I'm not sure what sort of process we want to<br>
> establish for this.  Should they just be signed by the release managers key?<br>
> Is this easier than I think it is?<br>
<br>
</div>GPG sign the git tag (git tag -s) and the announce email which<br>
contains the md5/sha sums. That's how X.Org releases are done.<br></blockquote><div><br></div><div>+1</div></div></div></div>