Из того, что я читаю, лучше всего проверить подлинность артефакта, полученного из Центра, с помощью открытого ключа автора библиотеки, чтобы предотвратить атаки типа «человек в середине» и тому подобное. Это похоже на такой громоздкий процесс, и похоже, что другие сообщества, такие как ruby с репозиторием rubygems, решили это, используя https при доступе к репозиторию.Если Maven Central использовал https для скачивания артефактов, нужна ли проверка артефактов?
Если Maven Central Repository использует https, это устранит необходимость проверки артефактов? Если да, то почему Central не использует https?