包依赖管理

go的包依赖管理分3个阶段。 本文主要是讲目前的go module方式。

• GOPATH
• GOVENDOR
• GOMOD

GOPATH

默认在 ~/go(unix, linux)

必须有src （source）目录

1export GO111MODULE=off # 临时修改值，本窗口有效

先从 GOROOT下src下找

再从GOPATH下src下找

GOVENDOR

先从vendor目录下找，再从 GOROOT下src下找，再从GOPATH 下src下找 。

govendor

init:初始化vendor文件夹

add:添加依赖包 +external:添加外部处于gopath下的依赖包

update:更新依赖 , +outside:添加当前包已经引用但是没有包含在vendor目录下的包

remove:删除无用的依赖 ,+unused:去掉项目中没有引用到但在vendor里存在的包 操作:

编写代码

package main

1import (
2    "fmt"
3    "github.com/astaxie/beego"
4)
5func main() {
6    fmt.Printf("run beego...\n")
7    beego.Run()
8} 

初始化生成vendor

1govendor init 

添加beego依赖

1 govendor add +e 

添加log第三方包

1 govendor update +outside 

去掉log依赖

1 govendor update +outside 

go module

go module是Go1.11版本之后官方推出的版本管理工具，并且从Go1.13版本开始，go module将是Go语言默认的依赖管理工具。

由go命令统一的管理，用户不必关心目录结构

初始化:go mod init

增加依赖： go get

更新依赖：go get [@v…],go mod tidy

GO111MODULE

要启用go module支持首先要设置环境变量GO111MODULE，通过它可以开启或关闭模块支持，它有三个可选值：off、on、auto，默认值是auto。

1. GO111MODULE=off禁用模块支持，编译时会从GOPATH和vendor文件夹中查找包。
2. GO111MODULE=on启用模块支持，编译时会忽略GOPATH和vendor文件夹，只根据 go.mod下载依赖。
3. GO111MODULE=auto，当项目在$GOPATH/src外且项目根目录有go.mod文件时，开启模块支持。

简单来说，设置GO111MODULE=on之后就可以使用go module了，以后就没有必要在GOPATH中创建项目了，并且还能够很好的管理项目依赖的第三方包信息。

使用 go module 管理依赖后会在项目根目录下生成两个文件go.mod和go.sum。

GOPROXY

Go1.11之后设置GOPROXY命令为：

1GOPROXY=https://goproxy.cn,https://mirrors.aliyun.com/goproxy/,direct
2export GOPROXY=https://goproxy.cn      # 七牛云开源的

Go1.13之后GOPROXY默认值为https://proxy.golang.org，在国内是无法访问的。

https://mirrors.aliyun.com/goproxy/

1
2go env -w GOPROXY=https://goproxy.cn,direct  //推荐这个
3
4# direct     源如果拉不到，就去源地址去拉取
5go env -w GO111MODULE=on

GOSUMDB

GOSUMDB（go checksum database）是Go官方为了go modules安全考虑，设定的module校验数据库，服务器地址为：sum.golang.org

你在本地对依赖进行变动（更新/添加）操作时，Go 会自动去这个服务器进行数据校验，保证你下的这个代码库和世界上其他人下的代码库是一样的。

和go.mod一样，Go 会帮我们维护一个名为go.sum的文件，它包含了对依赖包进行计算得到的校验值

环境变量GOSUMDB可以用来配置你使用哪个校验服务器和公钥来做依赖包的校验

Go1.13 中当设置了 GOPROXY="https://proxy.golang.org" 时 GOSUMDB 默认指向 “sum.golang.org”，其他情况默认都是关闭的状态。如果设置了 GOSUMDB 为 “off” 或者使用 go get 的时候启用了-insecure参数，Go 不会去对下载的依赖包做安全校验，存在一定的安全隐患，所以给大家推荐接下来的环境变量。

如果你的代码仓库或者模块是私有的，那么它的校验值不应该出现在互联网的公有数据库里面，但是我们本地编译的时候默认所有的依赖下载都会去尝试做校验，这样不仅会校验失败，更会泄漏一些私有仓库的路径等信息，我们可以使用GONOSUMDB这个环境变量来设置不做校验的代码仓库， 它可以设置多个匹配路径，用逗号相隔.

举个例子：

1GONOSUMDB=*.corp.example.com,rsc.io/private

这样的话，像 “http://git.corp.example.com/xyzzy", “http://rsc.io/private", 和 “http://rsc.io/private/quux)"这些公司和自己的私有仓库就都不会做校验了。

GONOPROXY

不代理

GOPRIVATE

设置的包如果是private的则不校验sumdb 。

go 命令会从公共镜像 http://goproxy.io 上下载依赖包，并且会对下载的软件包和代码库进行安全校验，当你的代码库是公开的时候，这些功能都没什么问题。但是如果你的仓库是私有的怎么办呢？

环境变量 GOPRIVATE 用来控制 go 命令把哪些仓库看做是私有的仓库，这样的话，就可以跳过 proxy server 和校验检查，这个变量的值支持用逗号分隔，可以填写多个值，例如：

1GOPRIVATE=*.corp.example.com,rsc.io/private

这样 go 命令会把所有包含这个后缀的软件包 ,都以私有仓库来对待。 举个例子

1GOPRIVATE=*.domain.cc  # 一般domain.cc是你公司私有git仓库的域名地址，这样就可跳过proxy的下载和检查

GOPRIVATE,GONOPROXY,GONOSUMDB 只要设置 GOPRIVATE 即可

GOMODCACHE

由 go mod tidy 下载的依赖 module 会被放置在本地的 module 缓存路径下，默认值为 $GOPATH[0]/pkg/mod，Go 1.15 及以后版本可以通过 GOMODCACHE 环境变量，自定义本地 module 的缓存路径。

go mod命令

常用命令

 1go mod help
 2go mod download    #下载依赖的module到本地cache（默认为$GOPATH/pkg/mod目录）
 3go mod edit        #编辑go.mod文件
 4go mod graph       #打印模块依赖图
 5go mod init        #初始化当前文件夹, 创建go.mod文件
 6go mod tidy        #增加缺少的module，删除无用的module,整理现有的依赖
 7go mod vendor      #将依赖复制到vendor下
 8go mod verify      #校验一个模块是否被揣改过
 9go mod why   
10go clean -modcache # 清空本地下载的 Go Modules 缓存：
11go list 命令列出当前 module 的所有依赖

升/降级包

初始状态执行的 go mod tidy 命令，帮我们选择了 logrus 的最新发 布版本 v1.8.1

1$go list  -m -versions github.com/sirupsen/logrus
2github.com/sirupsen/logrus v0.1.0 v0.1.1 v0.2.0 v0.3.0 v0.4.0 v0.4.1 v0.5.0 v0

方式一：通过go get 指定版本 v1.7.0

11 $go get github.com/sirupsen/logrus@v1.7.0 
22 go: downloading github.com/sirupsen/logrus v1.7.0
33 go get: downgraded github.com/sirupsen/logrus v1.8.1 => v1.7.0

方式二：通过 go mod edit

当然我们也可以使用万能命令 go mod tidy 来帮助我们降级，但前提是首先要用 go mod edit 命令，明确告知我们要依赖 v1.7.0 版本，而不是 v1.8.1，这个执行步骤是这样的

从 logrus@v1.8.1 降级到 1.7.0

1go mod edit -replace=github.com/sirsupsen/logrus@v1.7.0 

11 $go mod edit -require=github.com/sirupsen/logrus@v1.7.0 
22 $go mod tidy
33 go: downloading github.com/sirupsen/logrus v1.7.0

包替换

替换版本、替换本地包 2种情况

1replace git.corp.xx.com/infra => git.corp.xx.com/go/infra v0.0.2   
2// 版本就是 git tag v0.0.2 commit-id
3
4//也可以用来引入本地的包 
5replace git.xxx.com/util => /home/www/util   

indirect

go.mod文件中的indirect 表示间接依赖， 是被项目依赖的包所依赖的库

go.mod

1github.com/cr-mao/goredislock v1.0.1 //直接依赖包
2 
3github.com/cespare/xxhash/v2 v2.2.0 // indirect 间接依赖包
4
5// 版本-utc时间-commit的hash值前坠
6	github.com/dgryski/go-rendezvous v0.0.0-20200823014737-9f7001d12a5f // indirect

go.sum

罗列出当前项目所依赖和间接依赖的所有模块的版本，保证今后依赖的版本不会被揣改

存在2种hash值， 一种是针对整个zip包的里面所有的文件进行hash

另外是对go.mod文件进行hash

1 h1:AVXDdKsrtX33oR9fbCMu/+c1o8Ofjq6Ku/MInaLVg5Y=
2 xxxx/go.mod h1:a6bKKbmY7er1mI7TEI4lsAkts/mkhTSZK8w33B4RAg0=

迁移项目

go build ./… 把当前目录所有下面的依赖，生成出来

Go如何选择依赖版本

go会在该项目依赖项的所有版本中，选出符合项目整体要求的“最小版本”

特殊情况使用 vendor

go mod vendor 命令在 vendor 目录下，创建了一份这个项目的依赖包的副本，并且通过 vendor/modules.txt 记录了 vendor 下的 module 以及版本

如果我们要基于 vendor 构建，而不是基于本地缓存的 Go Module 构建，我们需要在 go build 后面加上 -mod=vendor 参数。

在 Go 1.14 及以后版本中，如果 Go 项目的顶层目录下存在 vendor 目录，那么 go build 默认也会优先基于 vendor 构建，除非你给 go build 传入 -mod=mod 的参数

1go build -mod=vendor

links

Go Module的6类常规操作