go基础-依赖管理
有些不可思议,简洁、优雅的go语言依赖管理如此混乱,发布多年也没有可靠的依赖管理机制,官方先后推出了多种依赖管理机制gopath、vender、dep等,没有一个顺手,直到在Go 1.11推出go mod才有所缓解,也谈不上优秀,相比maven弱爆了。
主流语言都有官方依赖包站点,如maven、pip、npm等。奇葩的是go没有官方依赖包站点,第三方包可以使用任意开源站点发布,没有官方站点导致诸多问题,如下载地址,版本管理、包说明文档等。没有统一下载地址,大聪明给出的方案包名就是包的下载地址,当然全球最大的开源平台是github,大量包都发布在github.com站点,很多第三方包名是github.com/xx/${pageName},但也有不少使用其他站点发布,如k8s.io、bazil.org、gobot.io等多如牛毛,直接导致无法搭建加速镜像站点,国内的都是代理方式加速(当然可增加缓存),相比加速镜像站也是弱爆了。另外也限定包名的格式,只要包会被其他项目使用就必须是下载地址,就算在企业内部私有包也不例,否则就纯人肉维护依赖。包没有标准文档格式、API说明等,后来go官方提供pkg.go.dev站点,统一文档风格、包检索,注意仅仅收录包信息以及展示,包还是在任意站点发布,都提供了官方站点,为啥不进一步支持发包发布功能呢。
主流语言都有官方依赖包站点,如maven、pip、npm等。奇葩的是go没有官方依赖包站点,第三方包可以使用任意开源站点发布,没有官方站点导致诸多问题,如下载地址,版本管理、包说明文档等。没有统一下载地址,大聪明给出的方案包名就是包的下载地址,当然全球最大的开源平台是github,大量包都发布在github.com站点,很多第三方包名是github.com/xx/${pageName},但也有不少使用其他站点发布,如k8s.io、bazil.org、gobot.io等多如牛毛,直接导致无法搭建加速镜像站点,国内的都是代理方式加速(当然可增加缓存),相比加速镜像站也是弱爆了。另外也限定包名的格式,只要包会被其他项目使用就必须是下载地址,就算在企业内部私有包也不例,否则就纯人肉维护依赖。包没有标准文档格式、API说明等,后来go官方提供pkg.go.dev站点,统一文档风格、包检索,注意仅仅收录包信息以及展示,包还是在任意站点发布,都提供了官方站点,为啥不进一步支持发包发布功能呢。
gopath
是go重要环境变量,称为工作目录,在 1.5 版本之前使用,通过go get ${packageName}命令下载依赖包,总是下载最新版本,且都是存放在 ${GOPATH}/src 目录下,没有版本控制。
使用import导入依赖包,查找路径固定为:${GOROOT}/src -> ${GOPATH}/src
使用import导入依赖包,查找路径固定为:${GOROOT}/src -> ${GOPATH}/src
- ${GOROOT}/src GOROOT表示go sdk的安装目录,src存放了go的标准库
- ${GOPATH}/src GOPATH表示go 的工作目录,src存放了所有的go项目
注意导入项目内部模块,也是从固定路径计算,导致所有项目必须放在工作目录下,否则会出现依赖找不到。这与其他语言较大区别,如java、python都支持从项目路径计算,项目可放在任意目录。
项目名称是demo,导入依赖方式如下
项目名称是demo,导入依赖方式如下
vender
Go 1.5 版本推出了 vendor 机制,就是每个项目下可有一个 vendor 目录,存放了该项目的依赖的 package。go build 时先去 vendor 目录查找依赖,没有再去 GOPATH 查找。调整后依赖查找顺序为:${GOROOT}/src -> ${Project}/vendor -> ${GOPATH}/src。
该机制是解决依赖版本控制问题,原理是每个项目依赖可独立目录管理,避免相互影响。注意此时依赖包依然没有版本概念,仅独立目录管理,要固定依赖包版本,只能连同vendor目录把第三方依赖一起提交至代码仓库,这带来了一大堆新问题,庞大的 vendor 目录需要提交到代码仓库,不仅占用代码仓库空间,减慢仓库下载和更新的速度,而且还会干扰代码评审,对代码统计等效能工具也有比较大影响。对多人协作开发更加复杂,包括项目依赖包的分析、版本的记录、依赖包获取和存放等。不知道那个大聪明提出了vendor方案。
该机制是解决依赖版本控制问题,原理是每个项目依赖可独立目录管理,避免相互影响。注意此时依赖包依然没有版本概念,仅独立目录管理,要固定依赖包版本,只能连同vendor目录把第三方依赖一起提交至代码仓库,这带来了一大堆新问题,庞大的 vendor 目录需要提交到代码仓库,不仅占用代码仓库空间,减慢仓库下载和更新的速度,而且还会干扰代码评审,对代码统计等效能工具也有比较大影响。对多人协作开发更加复杂,包括项目依赖包的分析、版本的记录、依赖包获取和存放等。不知道那个大聪明提出了vendor方案。
dep
Go 1.9 版本推出了实验性质的包管理工具 dep,也是一团糟,懒得介绍。
go mod
Go 1.11 版本推出了go mod依赖管理机制,才有实质性进步,达到可用状态。每个项目新增go.mod文件,维护该项目包依赖信息,包括依赖包的版本号。该文件使用go mod init ${ProjectNmae}命令创建,文件内容由 go 自动维护,每次下载依赖、升级依赖时会自动更新该文件。
使用前需要开启该技能,通过环境变量控制GO111MODULE:off 表示关闭,继续从 vendor、GOPATH 中查看依赖。on表示开启,项目必须有go.mod文件。未设置或auto(1.13后默认模式),表示自动模式,自动判断是否启用,项目不在GOPATH/src目录且有go.mod文件,
初始化go mod,在项目目录下执行
使用前需要开启该技能,通过环境变量控制GO111MODULE:off 表示关闭,继续从 vendor、GOPATH 中查看依赖。on表示开启,项目必须有go.mod文件。未设置或auto(1.13后默认模式),表示自动模式,自动判断是否启用,项目不在GOPATH/src目录且有go.mod文件,
初始化go mod,在项目目录下执行
$ cat go.mod module demo // 包名 go 1.19 // go版本
手动下载依赖
$ go get github.com/forgoer/openssl # 默认下载最新版本
也新增了自动分析依赖技能,分析代码所有依赖包,添加缺少的依赖,删除未使用的依赖
$ go mod tidy
自动下载 和 手动下载,都会自动更新go.mod文件,添加依赖的包、版本,以及间接依赖,如下内容
module demo go 1.19 require github.com/forgoer/openssl v1.6.0 // 表示依赖 require ( github.com/bytedance/sonic v1.9.1 // indirect github.com/chenzhuoyu/base64x v0.0.0-20221115062448-fe3a3abad311 // indirectd github.com/gabriel-vasile/mimetype v1.4.2 // indirect ... )
默认总是下载最新版本,也可指定版本下载
// 下载最新版本, 默认方式 $ go get github.com/forgoer/openssl@latest // 下载指定版本 $ go get github.com/forgoer/openssl@v1.6.0
使用git管理依赖,使用release tag标记版本号,如果仓库没有标记tag,则拉取最新的commit,此时版本号是:v0.0.0-主干分支最新commit的时间-commit哈希,称为伪版本
require golang.org/x/lint v0.0.0-20200302205851-738671d3881b
另一个变化下载路径也有调整,从${GOPATH}/src 变更为 ${GOPATH}/pkg/mod,同时终于支持从项目路径导入了,与之配合import的导入路径也发生了变化${GOROOT}/src/ -> ${ProjectDir}/ ->${GOPATH}/pkg/mod/。终于项目不用强制在工作目录下了,可存放任意位置。
查看依赖包下载目录
查看依赖包下载目录
$ ls -lh ~/go/pkg/mod/ total 4.0K drwxr-xr-x 3 root root 34 Jul 26 05:44 cache # 也增加了缓存技能 drwxr-xr-x 2 root root 36 Jul 26 05:59 demo2 drwxr-xr-x 22 root root 4.0K Jul 26 05:47 github.com drwxr-xr-x 3 root root 15 Jul 26 05:45 golang.org drwxr-xr-x 3 root root 30 Jul 26 05:46 google.golang.org drwxr-xr-x 4 root root 79 Jul 26 05:47 gopkg.in
$ ls -lh ~/go/pkg/mod/github.com/forgoer/ total 4.0K dr-xr-xr-x 3 root root 4.0K Jul 26 05:44 openssl@v1.6.0 # 目录名称增加了版本号
go.mod 配置文件其他指令,replace表示替换包
module demo go 1.19 replace ( github.com/Luzifer/go-openssl v1.10 => replace github.com/forgoer/openssl v1.6.0 // 替换 )
exclude表示排除某个指定版本包
module demo go 1.19 exclude github.com/forgoer/openssl v1.6.0 // 排除包 require github.com/forgoer/openssl v1.5.0 // 会自动下载其他版本
升级指定依赖包
$ go get -u github.com/forgoer/openssl
go list -m -u all 检查所有可升级的包
查看所有项目所有依赖
$ go list -m all $ go list -m -json all // 以json格式输出依赖项目依赖
编辑go.mog文件
$go mod edit -require="github.com/tin-gonic/[email protected]" // 添加依赖 $go mod edit -replace="golang.org/x/[email protected]=github.com/golang/crypto@latest" // 替换依赖 $go mod edit -exclude="github.com/gin-gonic/[email protected]" // 排除依赖
更多操作
- go mod download :手动触发下载依赖包到本地 cache
- go mod graph :打印项目的模块依赖结构
- go mod edit :编辑 go.mod 文件
- go mod verify:校验模块是否被篡改过
- go mod why: 查看为什么需要依赖
- go mod vendor:导出项目所有依赖到 vendor 下