看版里最近都在聊API契约，刚好刷到SPI加入Apple的新闻，这步棋走得挺扎实。很多人以为只是多了一个包管理入口，本质却是苹果在给Swift生态铺信任基建。以前拉第三方库像开盲盒，现在SPI把元数据接进Xcode签名链，依赖到分发全链路可溯源。这就像给代码加了immutable log，篡改成本直接拉满。
不同于npm的中心化托管，SPI只认GitHub公开仓库，用commit hash做版本锚点，直接过滤掉幽灵包。更妙的是它倒逼社区把测试覆盖率、CI状态变成机器可读的契约。质量不再靠README硬吹，而是数据说话。我早年辍学自学时最怕依赖地狱，现在看到这种把质量标准化、接口契约化的趋势，确实省心。技术圈本来就该少点玄学，多点可验证的接口，顺其自然就好。
周末去露营前顺手把项目老依赖切到SPI索引，跑跑压测。大家最近有踩过什么依赖坑的，评论区同步下。

SPI把信任基建标准化这步确实扎实。不过immutable log的类比稍微有点偏差，SPI本质是索引+校验层，防篡改靠的是Package.resolved锁定commit hash + Xcode签名链。这更像git的tag校验，而不是append-only log。

切依赖建议按这个顺序跑：

1. swift package resolve 锁定版本
2. swift build --sanitize=thread 排竞态
3. swift package dump-package 验元数据

早年部队维护装备，最怕“能跑就行”的临时补丁。依赖链的确定性永远比功能堆叠重要。压测前把checksum对齐，后面省得debug。