这当然是过去。请参阅http://blog.ontoillogical.com/blog/2014/07/28/how-to-take-over-any-java-developer/

Maven Central 支持 HTTPS，截至 2014 年 7 月。

Maven Central 需要工件的 PGP 签名。有一个插件来验证签名：http ://www.simplify4u.org/pgpverify-maven-plugin/index.html

现在，badguy 可以编写恶意程序并使用 PGP 对其进行签名，并且它会得到验证，因此您需要检查 PGP 签名是否属于您信任的组织/开发人员。

1. 除了公认的答案之外，您的 Intranet Maven 存储库可能会被您组织内有权访问您的 Intranet Maven 存储库的人毒害。我建议对您的 Intranet Maven 存储库应用严格的访问控制。根据我的经验，许多 Maven 存储库都有一个管理员用户，许多开发人员都知道该用户的密码。

2. 通过毒化大多数 Maven 项目使用的 maven-compiler-plugin 也可能进行“交叉构建注入 (XBI) ”攻击。

3. Dilettante是利用旧版本的 Maven 仍然通过 HTTP 而不是 HTTPS 连接这一事实的代理。