Je suis assez mécontent des explications données dans Maven Jar Plugin - Usage, particulièrement How to sign a jar file.

En effet, j'ai découvert par ailleurs que Maven recopiait le pom en tant que ressource dans le jar généré... Et comme dans cette documentation il est suggéré de placer signature et mot de passe dans le pom, tout ce saint frusquin se retrouve dans la distribution de tous les jars signés !

Certainement y a-t-il quelque part des avertissements divers et variés pour dire de ne pas faire ces bêtises, mais je ne les ai pas vus, et je n'ai découvert que recemment que les pom étaient recopiés dans les jars, pardonnez mon ignorance.

Moi cela me parait être une bourde de sécurité, donc je le dis : ne faites surtout pas ce qui est préconisé sur cette page !