GitHubのセキュリティメールが最近頻繁に来て、古いテスト用のリポジトリだったので、アラート対象になっているgo.sumファイルを消してみた。

これが正しい対応なのかわからないけど、go.modで指定しているバージョンより古いもののsumが書かれていて、go mod tidyしても消えず、ファイルを消してgo mod tidyしたら復活するうえに、それがアラート対象になるのだから納得いかない。

nodeプロジェクトのpackage-lock.jsonでも同じようなことがあるので、こういう依存関係の管理ファイルは.gitignoreしてしまうのが良いのだろうか。