17370845950

Go module校验机制依赖go.sum文件与sum.golang.org协同，通过路径绑定的两阶段哈希、双重验证（本地比对+远程背书）保障依赖完整性。

Go module 的校验机制核心靠 go.sum 文件 和 远程 checksum 数据库（sum.golang.org） 协同工作，不是单靠一个文件“存个哈希”就完事——它是一套带路径感知、双重验证、防篡改的完整性保障链。

go.sum 是什么：不只是哈希列表

go.sum 不是简单的“模块→哈希”映射表。每行记录形如：

其中两个 h1: 开头的值分别对应：

• 该模块根目录下 go.mod 文件 的校验和（关键！用于验证依赖声明本身没被改）
• 该模块压缩包（.zip）解压后整个目录内容的 dirhash 校验和（即 Go 官方实现的目录级哈希算法）

它还会保留历史版本的记录，提高恶意覆盖的成本。

校验和怎么算：两阶段哈希 + 路径绑定

以 go.mod 文件为例，Go 不是直接对内容 SHA256 后 Base64 就完事。它用的是严格定义的两阶段流程：

• 第一阶段：对 go.mod 原始 UTF-8 字节内容计算 SHA256，得到 32 字节摘要
• 格式化：把摘要转成小写十六进制字符串，拼上 两个空格 + 文件名 + 换行符，例如：abcdef12...3456 go.mod\n

• 第二阶段：对这个完整字符串再做一次 SHA256，然后 Base64 编码 —— 这才是 go.sum 里 h1: 后面的值

这种设计让校验和隐式绑定文件路径，防止攻击者把 A 模块的 go.mod 复制到 B 模块目录下冒充合法依赖。

构建时如何验证：本地比对 + 远程背书

每次运行 go build、go test 或 go mod download 时，Go 工具链会自动执行三步：

• 检查本地是否存在对应模块版本的 go.sum 记录
• 重新计算当前磁盘上 go.mod 和模块 zip 解压目录的校验和，与 go.sum 中记录比对；不一致就报错退出
• 把本地计算出的校验和发给 sum.golang.org（或你配置的 GOSUMDB），核验是否在官方透明日志中存在且未被篡改；若远程不认可，立即拒绝使用该模块

即使你手动改了 go.sum，只要远程数据库没同步这条记录，Go 就会拦截并警告 —— 这就是供应链攻击的第一道防线。

go-checksum 工具的作用：辅助调试，不替代 go 命令

go-checksum 是个轻量命令行工具，适合在 CI/CD 或离线环境中快速验证某个模块目录或 go.mod 的校验和是否符合 Go 规则：

• 它不参与 go.sum 自动生成，也不连接 sum.golang.org
• 主要用于：排查下载损坏、验证自建模块代理输出、对比不同环境下的哈希一致性
• 典型用法：go-checksum -mod ./path/to/go.mod 或 go-checksum -dir ./mymodule

本质上它是把 Go 内部的 dirhash 和 modhash 算法单独拎出来，方便人工介入验证。

基本上就这些。机制不复杂但容易忽略细节，尤其是那个“两个空格+换行”的格式，Python 实现时少一个空格就对不上 sum.golang.org。