我一直在研究一组项目,处理更新依赖项,有一件事我没有明确的答案,这就是为什么生成的 sum 文件列出了每个依赖项的这么多旧版本的原因。
在我们的项目中,我们引入了一些漏洞,尽管 golang.org/x/crypto
我们通过一个replace
带有安全修复程序的包发布指令解决了旧版本的漏洞,但这感觉不太正确,可能会将我们锁定在一个不安全的包版本中。
现在我已经完成并更新了依赖于旧版本golang.org/x/crypto
的包,并使用 replace 指令循环回包并尝试更新,但我仍然看到列出的旧包。
我想知道这对我们的项目意味着什么,以及我如何才能找到为什么首先包含这些内容?
运行一个简单 go mod why -m golang.org/x/crypto
的项目表明唯一依赖的项目 golang.org/x/crypto
是我更新的项目。
白板的微信
相关分类