ملف القفل هو سجل للتبعيات يلتقط الإصدارات الدقيقة التي تم تحديدها أثناء التثبيت، بدلاً من تركها مفتوحة لأحدث إصدار يطابق المتطلبات. في مشاريع بايثون، تشمل الأمثلة الملفات التي ينشئها مديرو الحزم والتي تثبت التبعيات غير المباشرة بحيث يقوم كل مطور، وخادم بناء، وحاوية بتثبيت المجموعة نفسها من الحزم.
تكتسب ملفات القفل أهمية لأن سلاسل توريد البرمجيات تتعرض غالبًا للهجوم عبر تغييرات التبعيات. إذا تعرض إصدار في المستودع للتسميم أو تم تحديث حزمة بشكل غير متوقع، يمكن لملف القفل أن يمنع عمليات التثبيت الروتينية من سحب إصدار جديد، وربما خبيث، بصمت. يستخدم المدافعون ملفات القفل مع تثبيت الإصدارات والتحقق من الهاش لجعل عمليات البناء قابلة للتكرار وأسهل في التدقيق. أما المهاجمون، فيحاولون استغلال المشاريع التي تستخدم إصدارات متغيرة، أو ملفات قفل قديمة، أو تغييرات تبعيات متجاهلة، لأن هذه البيئات أكثر عرضة لقبول حزمة ملوثة دون ملاحظة ذلك.



