go.sum хранит криптографические хеши (SHA-256) модулей и их зависимостей. При go mod download, go build и т.д. хеши проверяются: если содержимое модуля не совпадает с записью в go.sum, операция прерывается. Это защита от подмены зависимостей (supply chain attack).

go.mod описывает требуемые модули и версии; go.sum фиксирует их содержимое. go.sum нужно коммитить в репозиторий, чтобы сборка у всех и в CI была воспроизводимой и безопасной.