Gh-actions-lockfile：生成和验证 GitHub Actions 的锁定文件

Gh-actions-lockfile：生成和验证 GitHub Actions 的锁定文件
Gh-actions-lockfile: generate and verify lockfiles for GitHub Actions

GitHub Actions 没有内置机制来锁定依赖项版本。像 @v4 这样的版本标签可能会被静默地重新标记指向不同的代码。复合操作会引入您无法查看或审计的传递依赖项。

黑客新闻新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交登录 Gh-actions-lockfile: 为 GitHub Actions 生成和验证 lockfile (gh-actions-lockfile.net) 8 分，由 gjtorikian 1小时前发布 | 隐藏 | 过去的 | 收藏 | 讨论指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系搜索：

GitHub Actions has no built-in mechanism to lock dependency versions.

Version tags like @v4 can be silently retagged to point to different code.

Composite actions pull in transitive dependencies you can't see or audit.

Gh-actions-lockfile：生成和验证 GitHub Actions 的锁定文件 Gh-actions-lockfile: generate and verify lockfiles for GitHub Actions

Gh-actions-lockfile：生成和验证 GitHub Actions 的锁定文件
Gh-actions-lockfile: generate and verify lockfiles for GitHub Actions