为何 go.sum 中存在这么多过时的包

各位小伙伴们，大家好呀！看看今天我又给各位带来了什么文章？本文标题是《为何 go.sum 中存在这么多过时的包》，很明显是关于Golang的文章哈哈哈，其中内容主要会涉及到等等，如果能帮到你，觉得很不错的话，欢迎各位多多点评和分享！

我一直在处理一组项目，处理更新依赖项，但有一件事我没有明确的答案，这就是为什么生成的总和文件列出了每个依赖项的许多旧版本。

在我们的项目中，我们通过旧版本引入了一些漏洞 golang.org/x/crypto 我们通过 replace 指令解决了包含安全修复的软件包版本的问题，但这感觉不太正确，可能会将我们锁定在不安全的软件包版本中。

现在我已经更新了依赖于旧版本 golang.org/x/crypto 的包，并使用替换指令循环回包并尝试更新，但我仍然看到列出了旧包。

我想知道这对我们的项目意味着什么，以及我如何才能找到为什么首先包含这些内容？

运行一个简单的 go mod 为什么 -m golang.org/x/crypto 揭示了唯一依赖于 golang.org/x/crypto 是我更新的那个。

正确答案

@jimb 提供了一些关于 go sum 的文档，其中包含以下声明

go.sum 文件可能包含模块的多个版本的哈希值。 go 命令可能需要从依赖项的多个版本加载 go.mod 文件，以便执行最小版本选择。 go.sum 还可能包含不再需要的模块版本的哈希值（例如，升级后）。 go mod tidy 将添加缺失的哈希值，并从 go.sum 中删除不必要的哈希值。

在 go sum 中定义的结果包集来自 minimal version selection 进程，这似乎是一个很深的话题。

示例是将 "google.golang.org/grpc/metadata" 导入到模块中，在模块中运行 go mod tidy ，所得总和文件的一小部分如下所示：

github.com/golang/protobuf v1.2.0/go.mod h1:6lqm79b+lximfvg/czm0sgofjicqvbutrp5yjmmic1u=
github.com/golang/protobuf v1.3.2/go.mod h1:6lqm79b+lximfvg/czm0sgofjicqvbutrp5yjmmic1u=
github.com/golang/protobuf v1.3.3/go.mod h1:vzj43d7+sqxf/4pzw/hwtaqwc6ititcivsawz5lyuqw=
github.com/golang/protobuf v1.4.0-rc.1/go.mod h1:ceaxufehdc40wwswd/p6iggmak3ypki5j83wpe3ehw8=
github.com/golang/protobuf v1.4.0-rc.1.0.20200221234624-67d41d38c208/go.mod h1:xkawhe0f5enewxfv3euxvdtcmh+jubky0li0amyxata=
github.com/golang/protobuf v1.4.0-rc.2/go.mod h1:llezmj4aha7rcage4kmbdvji+awstrupvnzea03pprs=
github.com/golang/protobuf v1.4.0-rc.4.0.20200313231945-b860323f09d0/go.mod h1:wu3c8kckq9afe+yfwt9swvrkcviyn9cphbjsnnbl67w=
github.com/golang/protobuf v1.4.0/go.mod h1:joduvkwwbyaesaddk5fwe5c77linkvo9idvqg2kudx0=
github.com/golang/protobuf v1.4.1/go.mod h1:u8fpvmrcmy5pzrnk1lt4xcsgvpywq/vvv6qds8ujox8=
github.com/golang/protobuf v1.4.2/go.mod h1:odoupmao8ovcjwacko0gggigr6r6ociybssw735rrwi=
github.com/golang/protobuf v1.4.3/go.mod h1:odoupmao8ovcjwacko0gggigr6r6ociybssw735rrwi=

对版本的每个引用都指示最小版本选择算法图中的一个节点

将以下内容添加到 mod 文件

replace github.com/golang/protobuf => github.com/golang/protobuf v1.4.3

并运行 go mod tidy，protobuf 的结果总和条目更改为：

github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=

因为 replace 指令指示替换所有版本，因此依赖关系图中的所有节点都替换为 v1.4.3，这只是简化为包含依赖项 v1.4.3 的单个版本

至于我在漏洞扫描器上遇到的问题，它的作者似乎不知道如何检查 golang 的依赖关系，并将模块升级到 go 1.17，其中 mod 文件中没有列出间接依赖关系阻止总条目标记项目的漏洞。

以上就是《为何 go.sum 中存在这么多过时的包》的详细内容，更多关于的资料请关注golang学习网公众号！