この記事では、Goツールチェーンが新しいモジュールをコンパイルする際に自動で最新版をダウンロードする機能について触れ、その利点と潜在的なセキュリティリスクを考慮しています。特に、悪意のあるバイナリが配布される可能性が懸念されています。これへの対策として、Goプロジェクトは1.21以降の各Goバージョンがソースコードから再現可能であることを確保し、Checksum Databaseを公開しました。このデータベースには、各ツールチェーンのChecksumが記録され、ダウンロードしたバイナリが自分でビルドしたものと一致することを確認できます。しかし、これらの対策が意味を成すためには、独立した第三者による検証が必要です。筆者は、Debianの再現性ビルドプロジェクトに関与していた経験を持ち、GoのChecksum Databaseの監査ツールを運営しています。今後は、ツールチェーンの再現性も検証する予定です。