O Que É uma Locked Dependency Tree?
Uma locked dependency tree é o grafo completo e resolvido de cada dependência direta e transitiva com sua versão exata e hash de conteúdo, registrado em um lockfile. As instalações leem o lockfile em vez de re-resolver intervalos de versões, então duas máquinas buscam pacotes idênticos. É a base de builds repetíveis.
Por que isso importa
Sem um lock, um build que passa pode quebrar depois quando uma dependência transitiva publica uma nova versão. Hashes fixados também bloqueiam que pacotes adulterados sejam substituídos silenciosamente.
Guias relacionados
What Is a Reproducible Toolchain?A reproducible toolchain is a pinned, deterministic set of compilers and tools that produces byte-identical o…
What Is a Dependency Review Gate?A dependency review gate is a CI check that inspects added or changed dependencies in a pull request and bloc…
What Is an SBOM Attachment?An SBOM attachment is a software bill of materials bound to a release artifact, listing its components so con…