go retract 不能撤回已发布版本,而是声明某版本有严重问题,禁止新构建自动选用;它不影响已缓存、已发布的包或历史构建,仅修改 go.mod 中的版本选择逻辑。
Go retract 是什么,它真能“撤回”已发布的模块版本吗
不能。Go 的 retract 不是删除或隐藏版本,而是向 go 命令和代理(如 proxy.golang.org)声明:“这个版本有严重问题,请不要在新构建中自动选用”。它只影响后续的 go get、go mod tidy 等操作的版本选择逻辑,对已下载的缓存、已发布的 zip 包、Git tag 或历史构建完全无影响。
常见错误现象:go list -m -versions example.com/foo 仍能看到被 retract 的版本;别人 go get example.com/foo@v1.2.3 依然能成功——只要该版本还存在于 Git 仓库且未被强制删除。
- 使用场景:发布后发现 v1.5.0 存在 panic 漏洞、认证绕过,或意外包含调试密钥
- 不适用场景:想彻底清除已推送到 GitHub 的 tag;想让旧项目自动降级(retract 不触发重下载)
- retract 本身不修改 Git,只是在
go.mod文件里加一条声明
怎么用 retract 声明有问题的版本
在模块根目录的 go.mod 文件末尾添加 retract 指令,格式为 retract [version] 或 retract [low] 。必须重新打 tag 并推送(否则代理不会感知变更)。
示例:声明 v1.2.0 和 v1.2.1 有问题,且未来 v1.2.x 都不可靠:
立即学习“go语言免费学习笔记(深入)”;
retract v1.2.0 retract v1.2.1 retract [v1.2.0, v1.2.999]
注意:[v1.2.0, v1.2.999] 是半开区间,等价于 v1.2.0 ;Go 1.21+ 支持更简洁的 <code>v1.2.0...v1.2.999 写法,但兼容性起见建议用方括号。
- 必须用语义化版本号,不能写
retract master或retract latest - retract 指令只对当前模块生效,无法影响依赖项的版本
- 每次 retract 后需推送新 tag(如
v1.2.2),否则 proxy 不会更新元数据
retract 后用户会看到什么,哪些行为会改变
用户执行 go get example.com/foo@latest 时,go 命令会跳过所有被 retract 的版本,选下一个未被 retract 的最高版本。但 go list -m -u 会明确提示:“example.com/foo v1.2.1 is retracted: critical security issue”,前提是你的 retract 指令后跟了理由字符串(推荐写)。
示例带理由的写法:
retract v1.2.1 // critical security issue in auth middleware
- 理由字符串会被代理展示,也出现在
go list输出中,但不影响逻辑判断 -
go mod graph和go mod why不受 retract 影响,它们只看当前go.sum和go.mod - 如果用户显式指定
@v1.2.1,go 仍会拉取——retract 不阻止手动指定,只抑制自动选择 - 私有代理(如 Athens)需支持 Go 1.21+ 的 retract 元数据解析,旧版可能忽略
容易被忽略的关键细节和坑
retract 不是银弹,很多团队卡在这里:
- 忘记推送新 tag:仅改
go.mod不提交、不打 tag,proxy 根本看不到 retract 声明 - 误以为 retract 能清理已缓存的模块:用户的
$GOPATH/pkg/mod里 v1.2.1 依然存在,也不会被自动删掉 - 在非主分支上 retract:必须在默认分支(通常是
main或master)的go.mod中声明,其他分支无效 - 跨 major 版本 retract 失效:比如在 v2 模块的
go.mod里 retract v1.2.1,对 v1 路径无效(v1 和 v2 是不同模块) - CI/CD 流程没校验:建议在发布前加检查
go list -m -versions | grep 'retracted',避免漏 retract
最麻烦的一点:retract 生效依赖整个生态配合。如果用户禁用了代理(GOPROXY=direct),或用的是老旧 Go 版本(
