Uso la gestione delle dipendenze di Play Framework per scaricare una libreria (HTMLUnit), per fare ciò aggiungo la dipendenza al file build.sbt in questo modo:
libraryDependencies += "net.sourceforge.htmlunit" % "htmlunit" % "2.20"
La dipendenza viene quindi scaricata usando Apache Ivy (via sbt) quando costruisco il progetto.
Come faccio a sapere se la dipendenza scaricata è quella che dice di essere, e anche a garantire che non contenga alcun codice dannoso?