go基础-依赖管理

有些不可思议,简洁、优雅的go语言依赖管理如此混乱,发布多年也没有可靠的依赖管理机制,官方先后推出了多种依赖管理机制gopath、vender、dep等,没有一个顺手,直到在Go 1.11推出go mod才有所缓解,也谈不上优秀,相比maven弱爆了。

主流语言都有官方依赖包站点,如maven、pip、npm等。奇葩的是go没有官方依赖包站点,第三方包可以使用任意开源站点发布,没有官方站点导致诸多问题,如下载地址,版本管理、包说明文档等。没有统一下载地址,大聪明给出的方案包名就是包的下载地址,当然全球最大的开源平台是github,大量包都发布在github.com站点,很多第三方包名是github.com/xx/${pageName},但也有不少使用其他站点发布,如k8s.io、bazil.org、gobot.io等多如牛毛,直接导致无法搭建加速镜像站点,国内的都是代理方式加速(当然可增加缓存),相比加速镜像站也是弱爆了。另外也限定包名的格式,只要包会被其他项目使用就必须是下载地址,就算在企业内部私有包也不例,否则就纯人肉维护依赖。包没有标准文档格式、API说明等,后来go官方提供pkg.go.dev站点,统一文档风格、包检索,注意仅仅收录包信息以及展示,包还是在任意站点发布,都提供了官方站点,为啥不进一步支持发包发布功能呢。

 

gopath

是go重要环境变量,称为工作目录,在 1.5 版本之前使用,通过go get ${packageName}命令下载依赖包,总是下载最新版本,且都是存放在 ${GOPATH}/src 目录下,没有版本控制。

使用import导入依赖包,查找路径固定为:${GOROOT}/src -> ${GOPATH}/src
  • ${GOROOT}/src GOROOT表示go sdk的安装目录,src存放了go的标准库
  • ${GOPATH}/src GOPATH表示go 的工作目录,src存放了所有的go项目
注意导入项目内部模块,也是从固定路径计算,导致所有项目必须放在工作目录下,否则会出现依赖找不到。这与其他语言较大区别,如java、python都支持从项目路径计算,项目可放在任意目录。

项目名称是demo,导入依赖方式如下
import "fmt"                               // 导入标准库包
import "demo/utils"                        // 导入项目内的工具模块包, 注意也从绝对路径查找
import "github.com/forgoer/openssl"        // 导入外部第三方包

fmt是标准库在GOROOT/src,其他包都必须在GOPATH/src目录下。

 

vender

Go 1.5 版本推出了 vendor 机制,就是每个项目下可有一个 vendor 目录,存放了该项目的依赖的 package。go build 时先去 vendor 目录查找依赖,没有再去 GOPATH 查找。调整后依赖查找顺序为:${GOROOT}/src -> ${Project}/vendor -> ${GOPATH}/src。

该机制是解决依赖版本控制问题,原理是每个项目依赖可独立目录管理,避免相互影响。注意此时依赖包依然没有版本概念,仅独立目录管理,要固定依赖包版本,只能连同vendor目录把第三方依赖一起提交至代码仓库,这带来了一大堆新问题,庞大的 vendor 目录需要提交到代码仓库,不仅占用代码仓库空间,减慢仓库下载和更新的速度,而且还会干扰代码评审,对代码统计等效能工具也有比较大影响。对多人协作开发更加复杂,包括项目依赖包的分析、版本的记录、依赖包获取和存放等。不知道那个大聪明提出了vendor方案。

 

dep

Go 1.9 版本推出了实验性质的包管理工具 dep,也是一团糟,懒得介绍。

 

go mod

Go 1.11 版本推出了go mod依赖管理机制,才有实质性进步,达到可用状态。每个项目新增go.mod文件,维护该项目包依赖信息,包括依赖包的版本号。该文件使用go mod init ${ProjectNmae}命令创建,文件内容由 go 自动维护,每次下载依赖、升级依赖时会自动更新该文件。
使用前需要开启该技能,通过环境变量控制GO111MODULE:off 表示关闭,继续从 vendor、GOPATH 中查看依赖。on表示开启,项目必须有go.mod文件。未设置或auto(1.13后默认模式),表示自动模式,自动判断是否启用,项目不在GOPATH/src目录且有go.mod文件,

初始化go mod,在项目目录下执行
go mod init demo    // demo是项目名称

 

在当前目录生成go.mod文件,描述项目依赖信息,文件结构也很简洁
$ cat go.mod
module demo        // 包名

go 1.19            // go版本

 

手动下载依赖
$ go get github.com/forgoer/openssl  # 默认下载最新版本

 

也新增了自动分析依赖技能,分析代码所有依赖包,添加缺少的依赖,删除未使用的依赖

$ go mod tidy
貌似新版go build 和 go run 时也会自动下载依赖。
 

自动下载 和 手动下载,都会自动更新go.mod文件,添加依赖的包、版本,以及间接依赖,如下内容
module demo

go 1.19

require github.com/forgoer/openssl v1.6.0        // 表示依赖

require (
    github.com/bytedance/sonic v1.9.1 // indirect
    github.com/chenzhuoyu/base64x v0.0.0-20221115062448-fe3a3abad311 // indirectd
    github.com/gabriel-vasile/mimetype v1.4.2 // indirect
    ...
)
总算有个比较完整的依赖配置文件,包含直接依赖、间接依赖、版本号等,其中indirectd表示间接依赖。注意还会自动生成go.sum文件,维护了每个依赖包的hash值,增加校验,以免篡改。
 

默认总是下载最新版本,也可指定版本下载
// 下载最新版本, 默认方式
$ go get github.com/forgoer/openssl@latest     

// 下载指定版本
$ go get github.com/forgoer/openssl@v1.6.0     

使用git管理依赖,使用release tag标记版本号,如果仓库没有标记tag,则拉取最新的commit,此时版本号是:v0.0.0-主干分支最新commit的时间-commit哈希,称为伪版本
require golang.org/x/lint v0.0.0-20200302205851-738671d3881b
 
另一个变化下载路径也有调整,从${GOPATH}/src 变更为 ${GOPATH}/pkg/mod,同时终于支持从项目路径导入了,与之配合import的导入路径也发生了变化${GOROOT}/src/ -> ${ProjectDir}/ ->${GOPATH}/pkg/mod/。终于项目不用强制在工作目录下了,可存放任意位置。
查看依赖包下载目录
$ ls -lh ~/go/pkg/mod/
total 4.0K
drwxr-xr-x  3 root root   34 Jul 26 05:44 cache                            # 也增加了缓存技能
drwxr-xr-x  2 root root   36 Jul 26 05:59 demo2
drwxr-xr-x 22 root root 4.0K Jul 26 05:47 github.com
drwxr-xr-x  3 root root   15 Jul 26 05:45 golang.org
drwxr-xr-x  3 root root   30 Jul 26 05:46 google.golang.org
drwxr-xr-x  4 root root   79 Jul 26 05:47 gopkg.in
查看具体包
$ ls -lh ~/go/pkg/mod/github.com/forgoer/
total 4.0K
dr-xr-xr-x 3 root root 4.0K Jul 26 05:44 openssl@v1.6.0            # 目录名称增加了版本号

go.mod 配置文件其他指令,replace表示替换包
module demo

go 1.19

replace (
    github.com/Luzifer/go-openssl v1.10 => replace github.com/forgoer/openssl v1.6.0  // 替换
)
当依赖的包各种原因无法下载,可使用replace替换,代码不变,包被替换了。

exclude表示排除某个指定版本包
module demo

go 1.19

exclude github.com/forgoer/openssl v1.6.0    // 排除包
require github.com/forgoer/openssl v1.5.0    // 会自动下载其他版本
当排除的是新版本时,在此下载会自动降级到次新版本

升级指定依赖包
$ go get -u  github.com/forgoer/openssl
查看可升级的依赖包
go list -m -u all  检查所有可升级的包

 

查看所有项目所有依赖
$ go list -m all

$ go list -m -json all    // 以json格式输出依赖项目依赖

 


编辑go.mog文件
$go mod edit -require="github.com/tin-gonic/gin@v1.90"                      // 添加依赖
$go mod edit -replace="golang.org/x/crypto@v0.0.0=github.com/golang/crypto@latest"   // 替换依赖
$go mod edit -exclude="github.com/gin-gonic/gin@v1.9.0"                       // 排除依赖
当然也可以直接vim打开文件看你

更多操作
  • go mod download :手动触发下载依赖包到本地 cache
  • go mod graph :打印项目的模块依赖结构
  • go mod edit :编辑 go.mod 文件
  • go mod verify:校验模块是否被篡改过
  • go mod why: 查看为什么需要依赖
  • go mod vendor:导出项目所有依赖到 vendor 下

热门相关:有个人爱你很久   万古至尊   修真界败类   万古至尊   修真界败类