GitHubのセキュリティメールが最近頻繁に来て、古いテスト用のリポジトリだったので、アラート対象になっているgo.sum
ファイルを消してみた。
これが正しい対応なのかわからないけど、go.mod
で指定しているバージョンより古いもののsumが書かれていて、go mod tidy
しても消えず、ファイルを消してgo mod tidy
したら復活するうえに、それがアラート対象になるのだから納得いかない。
nodeプロジェクトのpackage-lock.json
でも同じようなことがあるので、こういう依存関係の管理ファイルは.gitignore
してしまうのが良いのだろうか。