如果Maven Central使用https下载工件，是否需要验证工件签名？

从我阅读的内容来看，最好的做法是使用库作者的公钥来验证从Central获得的工件的真实性，以防止中间人攻击之类的事情。这听起来像是一个非常麻烦的过程，而且其他社区（如ruby和rubygems存储库）似乎已经通过在访问存储库时使用https解决了这个问题

---

如果Maven中央存储库使用https，是否就不需要验证工件了？如果是这样，为什么Central不使用https？

https连接确保您连接到真正的Central，但它不会告诉您工件最初来自何处。这些工件由大量开发人员上传。如果其中任何一个密码被盗，恶意工件可能最终被上传。PGP提供了两个额外的特性：首先，盗取PGP密钥比盗取密码更难。其次，如果出现安全漏洞，可以撤销PGP密钥

当然，您不能直接访问中心，而是通过本地代理访问。使用PGP意味着您不需要信任该代理，您可以自己验证PGP签名

另一方面，为了深度安全，可以通过SSL访问Central，进行小额代币支付：