Anclaje de dependencias
¿Qué es Anclaje de dependencias?
Anclaje de dependenciasPráctica de declarar las dependencias de software en versiones exactas, a menudo junto con hashes criptográficos, para que las builds consuman siempre los mismos artefactos y resistan manipulación de la cadena de suministro.
El pinning de dependencias sustituye rangos flexibles ("^1.0.0") por versiones exactas y, idealmente, digests criptográficos en un lockfile (package-lock.json, poetry.lock, Pipfile.lock, Gemfile.lock, go.sum, Cargo.lock). Las builds se vuelven reproducibles y resistentes a actualizaciones silenciosas, dependency confusion, typosquatting y versiones comprometidas. La práctica moderna también ancla GitHub Actions y otros plugins de CI a SHAs de commit en lugar de tags mutables. El pinning debe combinarse con monitorización activa de vulnerabilidades (SCA, Dependabot, Renovate) para no quedarse desactualizado y acumular CVE. El hash-pinning es un control clave referenciado por SLSA, NIST SSDF, OWASP y las iniciativas de builds reproducibles.
● Ejemplos
- 01
Anclar todas las GitHub Actions de terceros a SHA de commit en lugar de tags como v3.
- 02
Uso de pip --require-hashes con un requirements.txt totalmente hasheado en CI.
● Preguntas frecuentes
¿Qué es Anclaje de dependencias?
Práctica de declarar las dependencias de software en versiones exactas, a menudo junto con hashes criptográficos, para que las builds consuman siempre los mismos artefactos y resistan manipulación de la cadena de suministro. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Anclaje de dependencias?
Práctica de declarar las dependencias de software en versiones exactas, a menudo junto con hashes criptográficos, para que las builds consuman siempre los mismos artefactos y resistan manipulación de la cadena de suministro.
¿Cómo defenderse de Anclaje de dependencias?
Las defensas contra Anclaje de dependencias combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Anclaje de dependencias?
Nombres alternativos comunes: Fijación de versiones, Hash pinning.