Misconcepciones
Play Framework 2 no tiene su propia administración de dependencias o repositorios, usa SBT, que a su vez usa el repositorio de Maven Central , que es donde viven prácticamente todos los paquetes de Java.
Con respecto a la descarga en carga, esto no sucede. No se descargan bibliotecas cuando ejecuta una aplicación creada con SBT. Las bibliotecas se descargan cuando crea el proyecto con SBT . Generalmente solo una vez, después de lo cual SBT guarda las bibliotecas en (predeterminado para Maven) ~/.m2/repositories .
Confiando en Maven Central
Maven Central tiene algunos requisitos de seguridad:
Para mejorar la calidad del repositorio de Central Maven, le pedimos que proporcione firmas PGP para todos sus artefactos (todos los archivos excepto sumas de comprobación), y distribuya su clave pública a un servidor de claves como enlace .
Lo que significa que puedes verificar si una entidad en la que confías carga algo.
Solo las versiones se pueden cargar en el repositorio central, lo que significa que los archivos no cambiarán y que solo dependen de otros archivos ya publicados y disponibles en el repositorio.
Esto básicamente significa que si un usuario de Maven Central se "piratea", nadie puede reemplazar las bibliotecas que el usuario lanzó. Solo podrían lanzar versiones más nuevas, que, a menos que esté utilizando comodines de versión de dependencia, su software permanecerá seguro.
Repositorios personalizados
Hay un montón de repositorios alternativos (es decir, JBoss '), pero lo más importante es que también puedes usar una herramienta como Nexus de Sonatype para ser tu propio repositorio Maven. Si realmente desea asegurarse de que no haya nada malicioso, puede configurar un Nexus de la empresa y cargar solo bibliotecas confiables verificadas.
Línea inferior
Se parece bastante a cualquier administrador de paquetes o repositorio de software , y depende completamente de usted si confía en la gente que lo respalda . En mi opinión, es mucho más seguro que descargar bibliotecas de Internet usted mismo.