为了账号安全,请及时绑定邮箱和手机立即绑定

为什么 go.sum 包含这么多旧包

首页 猿问 为什么 go.sum 包含这么多旧包

为什么 go.sum 包含这么多旧包

Go
慕侠2389804 2022-10-10 19:06:23
我一直在研究一组项目,处理更新依赖项,有一件事我没有明确的答案,这就是为什么生成的 sum 文件列出了每个依赖项的这么多旧版本的原因。在我们的项目中,我们引入了一些漏洞,尽管 golang.org/x/crypto 我们通过一个replace带有安全修复程序的包发布指令解决了旧版本的漏洞,但这感觉不太正确,可能会将我们锁定在一个不安全的包版本中。现在我已经完成并更新了依赖于旧版本golang.org/x/crypto的包,并使用 replace 指令循环回包并尝试更新,但我仍然看到列出的旧包。我想知道这对我们的项目意味着什么,以及我如何才能找到为什么首先包含这些内容?运行一个简单 go mod why -m golang.org/x/crypto 的项目表明唯一依赖的项目 golang.org/x/crypto 是我更新的项目。
查看完整描述

1 回答

?
白板的微信

TA贡献1883条经验 获得超3个赞

@JimB通过以下语句提供了一些关于go sum的文档

go.sum 文件可能包含一个模块的多个版本的哈希值。go 命令可能需要从依赖项的多个版本加载 go.mod 文件,以便执行最小版本选择。go.sum 还可能包含不再需要的模块版本的哈希值(例如,在升级之后)。go mod tidy 将添加缺失的哈希,并从 go.sum 中删除不必要的哈希。

go sum 中定义的结果包集来自最小版本选择过程,这似乎是一个很深的话题。

一个示例将导入"google.golang.org/grpc/metadata"到模块中,在模块中运行go mod tidy,生成的总和文件的一小部分如下:

github.com/golang/protobuf v1.2.0/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=

github.com/golang/protobuf v1.3.2/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=

github.com/golang/protobuf v1.3.3/go.mod h1:vzj43D7+SQXF/4pzW/hwtAqwc6iTitCiVSaWz5lYuqw=

github.com/golang/protobuf v1.4.0-rc.1/go.mod h1:ceaxUfeHdC40wWswd/P6IGgMaK3YpKi5j83Wpe3EHw8=

github.com/golang/protobuf v1.4.0-rc.1.0.20200221234624-67d41d38c208/go.mod h1:xKAWHe0F5eneWXFV3EuXVDTCmh+JuBKY0li0aMyXATA=

github.com/golang/protobuf v1.4.0-rc.2/go.mod h1:LlEzMj4AhA7rCAGe4KMBDvJI+AwstrUpVNzEA03Pprs=

github.com/golang/protobuf v1.4.0-rc.4.0.20200313231945-b860323f09d0/go.mod h1:WU3c8KckQ9AFe+yFwt9sWVRKCVIyN9cPHBJSNnbL67w=

github.com/golang/protobuf v1.4.0/go.mod h1:jodUvKwWbYaEsadDk5Fwe5c77LiNKVO9IDvqG2KuDX0=

github.com/golang/protobuf v1.4.1/go.mod h1:U8fpvMrcmy5pZrNK1lt4xCsGvpyWQ/VVv6QDs8UjoX8=

github.com/golang/protobuf v1.4.2/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=

github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=

每个对版本的引用都表示最小版本选择算法图中的一个节点

将以下内容添加到 mod 文件中

replace github.com/golang/protobuf => github.com/golang/protobuf v1.4.3

并运行 a go mod tidy,protobuf 的结果总和条目更改为:

github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=

因为该replace指令指示替换所有版本,所以依赖图中的所有节点都被替换为 v1.4.3,这只是简化为包含依赖 v1.4.3 的单个版本

至于我在漏洞扫描器中遇到的问题,似乎它的作者不知道应该如何检查 Golang 的依赖关系,并将模块升级到 1.17,其中在 mod 文件中列出了间接依赖关系并没有停止总和来自标记项目漏洞的条目。


查看完整回答
反对 回复 2022-10-10
  • 1 回答
  • 0 关注
  • 627 浏览
慕课专栏
更多

添加回答

了解更多

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信