为什么 go.sum 包含这么多旧包

@JimB通过以下语句提供了一些关于go sum的文档go.sum 文件可能包含一个模块的多个版本的哈希值。go 命令可能需要从依赖项的多个版本加载 go.mod 文件，以便执行最小版本选择。go.sum 还可能包含不再需要的模块版本的哈希值（例如，在升级之后）。go mod tidy 将添加缺失的哈希，并从 go.sum 中删除不必要的哈希。go sum 中定义的结果包集来自最小版本选择过程，这似乎是一个很深的话题。一个示例将导入"google.golang.org/grpc/metadata"到模块中，在模块中运行go mod tidy，生成的总和文件的一小部分如下：github.com/golang/protobuf v1.2.0/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=github.com/golang/protobuf v1.3.2/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=github.com/golang/protobuf v1.3.3/go.mod h1:vzj43D7+SQXF/4pzW/hwtAqwc6iTitCiVSaWz5lYuqw=github.com/golang/protobuf v1.4.0-rc.1/go.mod h1:ceaxUfeHdC40wWswd/P6IGgMaK3YpKi5j83Wpe3EHw8=github.com/golang/protobuf v1.4.0-rc.1.0.20200221234624-67d41d38c208/go.mod h1:xKAWHe0F5eneWXFV3EuXVDTCmh+JuBKY0li0aMyXATA=github.com/golang/protobuf v1.4.0-rc.2/go.mod h1:LlEzMj4AhA7rCAGe4KMBDvJI+AwstrUpVNzEA03Pprs=github.com/golang/protobuf v1.4.0-rc.4.0.20200313231945-b860323f09d0/go.mod h1:WU3c8KckQ9AFe+yFwt9sWVRKCVIyN9cPHBJSNnbL67w=github.com/golang/protobuf v1.4.0/go.mod h1:jodUvKwWbYaEsadDk5Fwe5c77LiNKVO9IDvqG2KuDX0=github.com/golang/protobuf v1.4.1/go.mod h1:U8fpvMrcmy5pZrNK1lt4xCsGvpyWQ/VVv6QDs8UjoX8=github.com/golang/protobuf v1.4.2/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=每个对版本的引用都表示最小版本选择算法图中的一个节点将以下内容添加到 mod 文件中replace github.com/golang/protobuf => github.com/golang/protobuf v1.4.3并运行 a go mod tidy，protobuf 的结果总和条目更改为：github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=因为该replace指令指示替换所有版本，所以依赖图中的所有节点都被替换为 v1.4.3，这只是简化为包含依赖 v1.4.3 的单个版本至于我在漏洞扫描器中遇到的问题，似乎它的作者不知道应该如何检查 Golang 的依赖关系，并将模块升级到 1.17，其中在 mod 文件中列出了间接依赖关系并没有停止总和来自标记项目漏洞的条目。

为什么 go.sum 包含这么多旧包

1回答