那些遇到过的问题

为什么 go.sum 包含这么多旧包

Ada*_* M. 23 go go-modules

我一直在进行一组项目,处理更新依赖项,但有一件事我没有明确的答案,这就是为什么生成的总和文件列出了每个依赖项的许多旧版本。

在我们的项目中,我们引入了一些漏洞,尽管 golang.org/x/crypto 我们通过replace带有安全修复程序的包发布指令解决了旧版本的问题,但这感觉不太正确,可能会将我们锁定在不安全的包版本中。

现在我已经更新了依赖于旧版本的包golang.org/x/crypto,并使用替换指令循环回包并尝试更新,但我仍然看到列出了旧的包。

我想知道这对我们的项目意味着什么,以及我如何才能找到为什么首先包含这些内容?

运行一个简单的命令 go mod why -m golang.org/x/crypto 表明唯一依赖的项目 golang.org/x/crypto 是我更新的项目。

Ada*_* M. 28

@JimB 提供了一些关于go sum 的文档,其中包含以下语句

\n
\n

go.sum 文件可能包含模块的多个版本的哈希值。go 命令可能需要从依赖项的多个版本加载 go.mod 文件,以便执行最小版本选择。go.sum 还可能包含不再需要的模块版本的哈希值(例如,升级后)。go mod tidy 将添加缺失的哈希值,并从 go.sum 中删除不必要的哈希值。

\n
\n

在 go sum 中定义的结果包集来自最小版本选择过程,这似乎是一个很深的话题。

\n

一个示例是导入"google.golang.org/grpc/metadata"到模块中,go mod tidy在模块中运行,所得总和文件的一小部分如下:

\n
github.com/golang/protobuf v1.2.0/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=\ngithub.com/golang/protobuf v1.3.2/go.mod h1:6lQm79b+lXiMfvg/cZm0SGofjICqVBUtrP5yJMmIC1U=\ngithub.com/golang/protobuf v1.3.3/go.mod h1:vzj43D7+SQXF/4pzW/hwtAqwc6iTitCiVSaWz5lYuqw=\ngithub.com/golang/protobuf v1.4.0-rc.1/go.mod h1:ceaxUfeHdC40wWswd/P6IGgMaK3YpKi5j83Wpe3EHw8=\ngithub.com/golang/protobuf v1.4.0-rc.1.0.20200221234624-67d41d38c208/go.mod h1:xKAWHe0F5eneWXFV3EuXVDTCmh+JuBKY0li0aMyXATA=\ngithub.com/golang/protobuf v1.4.0-rc.2/go.mod h1:LlEzMj4AhA7rCAGe4KMBDvJI+AwstrUpVNzEA03Pprs=\ngithub.com/golang/protobuf v1.4.0-rc.4.0.20200313231945-b860323f09d0/go.mod h1:WU3c8KckQ9AFe+yFwt9sWVRKCVIyN9cPHBJSNnbL67w=\ngithub.com/golang/protobuf v1.4.0/go.mod h1:jodUvKwWbYaEsadDk5Fwe5c77LiNKVO9IDvqG2KuDX0=\ngithub.com/golang/protobuf v1.4.1/go.mod h1:U8fpvMrcmy5pZrNK1lt4xCsGvpyWQ/VVv6QDs8UjoX8=\ngithub.com/golang/protobuf v1.4.2/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=\ngithub.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=\n
Run Code Online (Sandbox Code Playgroud)\n

每个对版本的引用都指示最小版本选择算法图中的一个节点

\n

将以下内容添加到mod文件中

\n
replace github.com/golang/protobuf => github.com/golang/protobuf v1.4.3\n
Run Code Online (Sandbox Code Playgroud)\n

并运行 a go mod tidy, protobuf 的结果总和条目更改为:

\n
github.com/golang/protobuf v1.4.3/go.mod h1:oDoupMAO8OvCJWAcko0GGGIgR6R6ocIYbsSw735rRwI=\n
Run Code Online (Sandbox Code Playgroud)\n

因为该replace指令指示替换所有版本,所以依赖关系图中的所有节点都替换为 v1.4.3,这只是简化为包含依赖关系 v1.4.3 的单个版本

\n

至于我在漏洞扫描器上遇到的问题,它的作者似乎不知道如何检查 Golang 的依赖关系,并将模块升级到 go 1.17(其中 mod 文件中列出了间接依赖关系)并没有阻止对项目漏洞进行标记的总和条目。

\n

归档时间:

查看次数:

15725 次

最近记录:

3 年,9 月 前
相关归档
any/interface{} 作为约束与参数类型之间的区别? 52
编码/解码base64 26
Go:没有提供http静态目录 7
如何使用Go在Windows上显示图像? 6
Go中的XML解码 5
如何安全地丢弃golang数据库/ sql池连接,例如当它们指向只读副本时? 5
如何修复 go get: disabled by -mod=vendor 5
在编译时解析模板 4
如何每秒重复 N 次函数? 4
将float64封装在protobuf中的package 4
难疑归档
如何使用scp将文件夹从远程复制到本地? 2562
为什么我的JavaScript在所请求的资源上出现"No'Access-Control-Allow-Origin'标头"错误,当Postman没有? 2320
如何使用JavaScript漂亮地打印JSON? 2222
Bash中的Echo newline打印文字\n 2171
如何在Python中将字符串解析为float或int? 2108
PostgreSQL"DESCRIBE TABLE" 1790
JavaScript中的'new'关键字是什么? 1684
Python join:为什么是string.join(list)而不是list.join(string)? 1669
我为什么要使用指针而不是对象本身? 1532
如何检查字符串是否包含Objective-C中的另一个字符串? 1200