Я пытался найти, есть ли центральный репозиторий с поддержкой SSL, но, вероятно, его нет. Я заметил, что есть подписи для каждого файла jar и pom в центральном репозитории maven. По крайней мере, я хотел бы проверить подписи всех загруженных файлов maven (pom / jar).
Пример из http://repo1.maven.org/maven2/org/apache/ant/ant/1.8.2/:
ant-1.8.2.jar
ant-1.8.2.jar.asc
ant-1.8.2.jar.asc.md5
ant-1.8.2.jar.asc.sha1
ant-1.8.2.jar.md5
ant-1.8.2.jar.sha1
ant-1.8.2.pom
ant-1.8.2.pom.asc
ant-1.8.2.pom.asc.md5
ant-1.8.2.pom.asc.sha1
ant-1.8.2.pom.md5
ant-1.8.2.pom.sha1
Я понимаю, что мне придется импортировать открытые ключи для каждого репозитория, и меня это устраивает. Я предполагаю, что открытые ключи для maven central находятся здесь https://svn.apache.org/repos/asf/maven/project/KEYS.
В сети есть МНОЖЕСТВО руководств о том, как подписаться с помощью maven. Однако я не нашел никакой информации о том, как заставить maven (2 или 3) проверять подписи загруженных файлов jar / pom. Является ли это возможным?
(Nexus Professional не является вариантом)
Спасибо за помощь.