我一直在研究一組項(xiàng)目，處理更新依賴項(xiàng)，有一件事我沒有明確的答案，這就是為什么生成的 sum 文件列出了每個依賴項(xiàng)的這么多舊版本的原因。在我們的項(xiàng)目中，我們引入了一些漏洞，盡管 golang.org/x/crypto 我們通過一個replace帶有安全修復(fù)程序的包發(fā)布指令解決了舊版本的漏洞，但這感覺不太正確，可能會將我們鎖定在一個不安全的包版本中。現(xiàn)在我已經(jīng)完成并更新了依賴于舊版本golang.org/x/crypto的包，并使用 replace 指令循環(huán)回包并嘗試更新，但我仍然看到列出的舊包。我想知道這對我們的項(xiàng)目意味著什么，以及我如何才能找到為什么首先包含這些內(nèi)容？運(yùn)行一個簡單 go mod why -m golang.org/x/crypto 的項(xiàng)目表明唯一依賴的項(xiàng)目 golang.org/x/crypto 是我更新的項(xiàng)目。