Go 1.11版本之后引入了新的包管理工具Go Modules，用于解决之前没有地方记录依赖包具体版本的问提，Go在做依赖管理时会创建两个文件go.mod和go.sum，关于go.mod的使用可以参考juejin.cn/post/711119… ，本文来聊一下go.sum的使用，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

Golang为了依赖的安全考虑，在go.mod的基础上引入了go.sum，go.sum文件的作用主要是记录项目依赖的hash值，防止被人修改。下面我们来一起看一下这个文件：

我可以看到，文件主要用于记录每个依赖包的哈希值，在构建时，如果本地的依赖包hash值与go.sum文件中记录得不一致，则会拒绝构建。

go.sum存在的意义在于，我们希望别人或者在别的环境中构建当前项目时所使用依赖包跟go.sum中记录的是完全一致的，从而达到一致构建的目的。

通过上面图片可以看到，go.sum文件中每行记录有module名、版本和哈希组成，并由空格分开：

复制代码

<module> <version> [/go.mod] <hash>

依赖包版本中任何一个文件改动，都会改变其整体哈希值，每条记录中的哈希值前均有一个表示哈希算法的h1:，表示后面的哈希值是由算法SHA-256计算出来的。

当我们在GOMODULE模式下引入一个新的依赖时，通常会使用go get命令获取该依赖，例如：

复制代码

go get github.com/go-playground/validator/v10@v10.11.0

go get 命令首先会将该依赖包下载到本地缓存目录，下载完后会对该包做哈希运算，并将结果存放在后缀为.ziphash的文件中。如果在项目的根目录中执行go get命令，go get会同步更新go.mod和go.sum文件，go.mod中记录的是依赖名及其版本，如：

复制代码

require ( github.com/go-playground/validator/v10 v10.11.0 // indirect )

go.sum文件中则会记录依赖包的哈希值（同时还有依赖包中go.mod的哈希值），如：

复制代码

github.com/go-playground/validator/v10 v10.11.0 h1:0W+xRM511GY47Yy3bZUbJVitCNg2BOGlCyvTqsp/xIw= github.com/go-playground/validator/v10 v10.11.0/go.mod h1:i+3WkQ1FvaUjjxh1kSvIA4dMGDBiPU55YFDl0WbKdWU=

当我们拿某项目在本地构建的时候，go命令会从本地缓存中查找所有go.mod中记录的依赖，并计算本地依赖包的哈希值，然后与go.sum中的记录进行对比；

如果校验失败，说明本地缓存目录中依赖包版本的哈希值和项目中go.sum中记录的哈希值不一致，go命令将拒绝构建。就需要确认到底是本地缓存错了，还是go.sum记录错了。更新依赖后再重新构建。

在开发中，如果多人合作同时开发一个项目可能经常会遇到冲突的问题，很是头疼，那我们应该将go.sum文件添加到git仓库吗？

答案是的，go.mod文件描述了我的依赖关系，但go.sum文件似乎是一个锁定文件。go.sum 文件主要作用是在编译过程中检查是否有依赖的包发生了版本的变化。这样才能保证项目依赖包版本的一致，同时保证 Build 的一致性。因此go.mod和go.sum文件都应该被git仓库管理起来。

本文主要总结了一下关于go.sum相关的内容，为了依赖的安全考虑，在go.mod的基础上引入了go.sum，go.sum文件的作用主要是记录项目依赖的hash值，防止被人修改。另外，为了保证项目依赖包版本的一致，同时保证 Build 的一致性，go.mod和go.sum文件都应该被git仓库管理起来。

作者：我是一只鱼吖链接：https://juejin.cn/post/7158069082439286791来源：稀土掘金著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。