在1.10.6之前的Go和1.11.3之前的1.11.x中，当使用-u标志和恶意Go包的导入路径或导入它的包时，“go get”命令容易受到远程代码执行的影响直接或间接地。具体来说，它仅在GOPATH模式下易受攻击，但在模块模式下不受影响（区别在https://golang.org/cmd/go/#hdr-Module_aware_go_get中记录）。使用自定义域，可以安排一些事情，以便通过使用以“/.git”结尾的虚荣导入路径将Git存储库克隆到名为“.git”的文件夹。如果Git存储库根包含一个“HEAD”文件，一个“config”文件，一个“objects”目录，一个“refs”目录，并且有一些工作来确保正确的操作顺序，那么“go get -u”就会被欺骗将父目录视为存储库根目录，并在其上运行Git命令。这将使用原始Git存储库根目录中的“config”文件进行配置，如果该配置文件包含恶意命令，它们将在运行“go get -u”的系统上执行。<br>