Locked Dependency Tree とは何か
locked dependency tree は、すべての直接および推移的な依存関係を、その正確なバージョンとコンテンツハッシュとともに完全に解決したグラフで、lockfile に記録されます。インストールはバージョン範囲を再解決するのではなく lockfile を読むため、2 台のマシンが同一のパッケージを取得します。これは再現可能な build の基盤です。
なぜ重要か
lock がなければ、通過していた build が後で、推移的な依存関係が新しいバージョンを公開したときに壊れることがあります。ピン留めされたハッシュは、改ざんされたパッケージが密かに差し替えられるのも防ぎます。
関連ガイド
What Is a Reproducible Toolchain?A reproducible toolchain is a pinned, deterministic set of compilers and tools that produces byte-identical o…
What Is a Dependency Review Gate?A dependency review gate is a CI check that inspects added or changed dependencies in a pull request and bloc…
What Is an SBOM Attachment?An SBOM attachment is a software bill of materials bound to a release artifact, listing its components so con…