Gh-actions-lockfile: generate and verify lockfiles for GitHub Actions
5 months ago
- #Dependency Management
- #GitHub Actions
- #Security
- GitHub Actions 缺乏原生的锁文件机制,可能导致可变标签和隐藏依赖项引发潜在问题。
- gh-actions-lockfile 通过生成锁定文件提供解决方案,该文件将所有操作固定到带有完整性哈希的确切提交SHA。
- 锁文件包含版本、SHA、完整性哈希,并跟踪传递依赖项以实现全面审计。
- 可作为GitHub Action或CLI工具使用,支持生成、验证和列出依赖树三种模式。
- 功能包括:固定确切提交SHA、完整性验证、解析传递依赖项以及可视化依赖树。