<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">I think it would be great to have checksums publicly available when a new Erlang/OTP patch is tagged on GitHub. Something as simple as this will do:<div><br></div><font face="monospace, monospace" style="background-color:rgb(255,242,204)">sha256sum OTP-21.2.2.tar.gz > OTP-21.2.2.tar.gz.sha256<br>curl --request POST --data-binary "@OTP-21.2.2.tar.gz.sha256" --header "Content-Type: text/plain" <a href="https://uploads.github.com/repos/erlang/otp/releases/OTP-21.2.2/assets?name=OTP-21.2.2.tar.gz.sha256">https://uploads.github.com/repos/erlang/otp/releases/OTP-21.2.2/assets?name=OTP-21.2.2.tar.gz.sha256</a></font></div><div dir="ltr"><div><div><br></div><div>Is this something that others are missing? If not, how do you answer "<i>I know that this Erlang/OTP build is legit</i>" in your production environments?</div></div><div><br></div><div>Thank you, Gerhard.</div></div></div></div></div></div></div>