问Nexus如何自动验证下载的工件的身份验证？

EN

我已经对Maven中央存储库安全性进行了一些研究，特别是交叉构建注入攻击(XBI)。我阅读了一些链接，我在下面列出了这些链接：

http://www.sonatype.com/people/2010/01/how-to-generate-pgp-signatures-with-maven/

http://maven.apache.org/guides/mini/guide-central-repository-upload.html

Verification of dependency authenticy in Maven POM based automated build systems

以下是我理解的要点

1. 所有上传到中央存储库都需要由开放源码项目的发布管理人员拥有的PGP私钥签名的工件。
2. 公钥应提交给密钥服务器，如MIT密钥服务器。
3. 手工验证下载的工件很麻烦。
4. 存储库管理器(如Nexus )提供了自动验证下载工件签名的功能。

然而，Nexus是如何进行自动验证的？Nexus是否维护了Maven Central宿主的所有开源项目的PGP密钥库？sonatype是否验证并签名开放源码项目上传到密钥服务器的PGP公钥？有人知道内饰吗？