retract指令在go.mod中实现语义层“软撤回”,标记已发布但被官方否定的版本,要求依赖解析时主动避开;需写于文件末尾、带rfc 3339时间戳和明确原因,仅影响新解析,不删除缓存或vendor内容。
retract 指令在 go.mod 中到底起什么作用
它不是删除版本,也不是阻止下载,而是告诉 go 命令:这个版本存在过,但已被官方否定,后续依赖解析时应主动避开——哪怕它还在 proxy 或本地缓存里。本质是语义层的“软撤回”,靠的是模块消费者主动检查 go.sum 和 go list -m -u 的提示。
怎么正确添加 retract 指令(带时间戳和原因)
必须写在 go.mod 文件末尾的 retract 块里,且每个版本单独一行;时间戳用 RFC 3339 格式(2023-10-05T14:48:00Z),不能省略时区;原因建议简明指向具体问题,比如安全漏洞或严重 panic。
retract v1.2.3 // critical memory leak in NewClient()retract [v1.4.0, v1.4.5] // CVE-2023-xxxxx, fixed in v1.4.6- 时间戳必须紧贴版本后、用空格分隔:
retract v1.2.3 2023-10-05T14:48:00Z - 区间写法只支持闭区间,不支持
v1.4.0+或>=v1.4.0
retract 后下游项目为什么还可能拉到被撤回的版本
因为 go get 默认不校验 retract 状态,除非显式触发升级或使用 -u 参数。更常见的情况是:下游项目锁定了 go.sum 里的旧版本,或用了 replace 强制指定,此时 retract 完全不生效。
- 运行
go list -m -u才会显示 “retracted” 标记和推荐替代版本 -
go mod tidy不会自动跳过被 retract 的版本,除非该版本未被直接依赖 - proxy(如 proxy.golang.org)会缓存 retract 信息,但私有 proxy 若未同步
go.mod更新,就无法传递撤回信号
验证 retract 是否生效的三个关键检查点
别只看 go.mod 有没有写上,得确认它真正在消费链路里起作用。
- 执行
go list -m -u example.com/mymodule:输出中出现retracted字样才算落地 - 检查
go.sum:被 retract 的版本哈希仍存在,但go mod verify不报错——这是正常现象 - 在下游项目中运行
go get example.com/mymodule@latest:如果返回unrecognized import path或跳过该版本,说明 retract 被尊重;若仍选中,则可能是go.sum锁定或 GOPROXY 未刷新
最易忽略的一点:retract 只影响新解析,不影响已 go mod vendor 进来的代码——vendor 目录里的文件不会因上游 retract 自动清除或替换。
