Fraintendimenti
Play Framework 2 non ha una propria gestione delle dipendenze o repository, utilizza SBT che a sua volta utilizza il repository Maven Central esistente , che è dove praticamente tutti i pacchetti Java vivono.
Per quanto riguarda il download al caricamento, questo non succede. Nessuna libreria viene scaricata quando si esegue un'applicazione creata con SBT. Le librerie vengono scaricate quando si crea il progetto con SBT . Solitamente una sola volta, dopo di che SBT salva le librerie in (predefinito per Maven) ~/.m2/repositories
.
Fidati di Maven Central
Maven Central ha alcuni requisiti per la sicurezza:
To improve the quality of the Central Maven repository, we require you to provide PGP signatures for all your artifacts (all files except checksums), and distribute your public key to a key server like http://pgp.mit.edu.
Significa che puoi verificare se qualcosa è stato caricato da un'entità di cui ti fidi.
Only releases can be uploaded to the central repository, that means files that won't change and that only depend on other files already released and available in the repository.
Questo in pratica significa che se un utente di Maven Central viene "hackerato", nessuno può sostituire alcuna libreria rilasciata dall'utente. Potrebbero solo rilasciare le versioni più recenti, che a meno che non utilizzi i caratteri jolly della versione di dipendenza, il tuo software rimarrà al sicuro.
Archivi personalizzati
C'è un mucchio di repository alternativi (ad es. JBoss '), ma soprattutto puoi anche usare uno strumento come Nexus di Sonatype essere il tuo repository di Maven. Se vuoi davvero essere sicuro che non accada nulla di malvagio, puoi creare una società Nexus e caricare solo le librerie attendibili verificate.
Bottom line
È praticamente come qualsiasi gestore di pacchetti o repository di software , e completamente a te se ti fidi delle persone dietro . A mio parere è molto più sicuro che scaricare da solo le librerie da Internet.