Hash Verification - CI/CD用語集の定義
hash verification とは、artifact の hash を再計算し、信頼できる期待値と比較して完全性を確認することです。checksum は何も改変されていないことを示し、署名はさらに誰が生成したかを示します。
CIにおいて
package manager はこれを自動で行います。pip install --require-hashes や npm ci は、hash が lockfile と一致しない依存関係を拒否し、改ざんされたパッケージを阻止します。
関連ガイド
Checksum - CI/CD Glossary DefinitionChecksum: A checksum is a fixed-size value computed from a file with a hash function (such as SHA-256) that c…
Dependency Lock - CI/CD Glossary DefinitionDependency Lock: A dependency lock is a generated file (package-lock.json, yarn.lock, Cargo.lock, poetry.lock…
Supply Chain Attack - CI/CD Glossary DefinitionSupply Chain Attack: A supply chain attack compromises software by targeting its dependencies, build tools, o…