Go 如何应对供应链攻击？

去官方博客介绍了他们应对供应链攻击的缓解措施。据称,去的工具链和设计在各个阶段均包含降低攻击风险的考虑。

<强>所有构建都被“锁定(锁)”

<强>外部变化(例如发布依赖项的新版本)不会影响去构建。

与其他大多数软件包管理器所使用的配置文件不同, 模块去 没有单独的约束列表和用于锁定特定版本的锁文件。参与去构建的每个依赖项的版本完全由主模块的<代码>。国防部文件决定。

1.16从去开始,上述操作默认执行,如果 <代码> go.mod>