O Que É Fixação de Dependências?
A fixação de dependências é a prática de especificar versões exatas de dependências, ou até mesmo hashes de conteúdo, em vez de faixas de versão flexíveis. Dependências fixadas não mudam por baixo dos panos quando um mantenedor upstream publica um novo release. Isso torna os builds reprodutíveis e bloqueia atualizações silenciosas e potencialmente maliciosas.
Por que isso importa
Faixas de versão flutuantes significam que um build pode subitamente puxar um release novo, não testado ou comprometido. A fixação, especialmente em um hash ou em um commit específico para GitHub Actions, garante que o CI execute exatamente o código que você revisou, uma defesa fundamental de supply chain.
Conceitos relacionados
- Lockfiles fixam dependências transitivas automaticamente
- Fixar Actions em um SHA de commit fortalece os workflows
- Troca atualizações automáticas por previsibilidade
Guias relacionados
What Is a Lockfile?A lockfile records the exact resolved versions and hashes of every dependency, so installs are deterministic…
What Is a Transitive Dependency?A transitive dependency is one you do not require directly but pull in indirectly because a dependency of you…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…