Rafa, esse é um questionamento muito valioso!
O que eu me pego perguntando é: toda dependência é um pedaço de código, e no momento zero não depende quem escreveu o código, se foi eu ou um outro autor, o que depende é o que vai acontecer dali para frente. Por exemplo: terei tempo e capacidade de continuar avaliando esse pedaço de código por bugs e brechas de segurança? Por compatibilidade com o restante do ecossistema que está ao redor dessa dependência?
Me pergunto isso, porque tudo dentro do seu sistema é código (de forma grosseira) e é "somente" uma questão de quem irá continuar atualizando suas partes.
Então importar o source code
, ao invés de declarar como dependência externa, não faz seu sistema mais seguro. Muitas vezes vai deixar mais inseguro ao longo do tempo por não ser fácil de instalar os patches de segurança.
Hmm, interessante esse ponto de vista mano. O que eu quis dizer sobre isso foi mais a questão da disponibilidade dos recursos. Tipo, eu opto por linkar um recurso externo ao meu projeto, sendo assim meu projeto fica dependente de estar tudo ok com o servidor desse terceiro, ou seja, se por algum motivo o servidor deles cair, meu projeto fica com um buraco, podendo arruinar tudo. Por isso baixar o recurso (se possível), e integrar direto nos arquivos da aplicação, me parece mais seguro, em relação à dependência.