本文轉載,目的方便查閱
01介紹
Golang 1.16 已經正式發布了,其中 Modules 有一些變化:
- 默認開啟 Modules。
- 不自動修改
go.mod和go.sum。 - 通過指定
@version后綴安裝特定版本可執行文件。 - 新增
retract指令撤回 Module 版本。 - 使用新增配置變量 GOVCS 指定特定模塊使用特定版本控制工具。
02默認開啟 Modules
golang 1.16 默認開啟 Modules,即使不存在 go.mod,Go 命令現在默認情況下也會在 module-aware(模塊感知)模式下構建包。
在 golang 1.16 中,通過設置關閉 GO111MODULE 環境變量,在 GOPATH 模式下構建包仍然是可能的。您還可以將 GO111MODULE 設置為 auto,以便在當前目錄或任何父目錄中存在 go.mod 文件時啟用 module-aware (模塊感知)模式。您還可以使用 go env -w 永久設置 GO111MODULE 和其他變量,:
go env -w GO111MODULE=auto
Go 官方計划在 Go 1.17 中放棄對 GOPATH 模式的支持。換句話說,Go 1.17 將忽略 GO111MODULE。如果您的項目不在 module-aware (模塊感知)模式下構建,則現在是時候遷移至 module-aware (模塊感知)模式了。
03不自動修改 go.mod 和 go.sum
在 golang 1.16 之前版本中,當 go 命令發現 go.mod 或 go.sum 存在問題時,如缺少 require 指令或缺少 sum,它將嘗試自動解決問題。Go 官方收到很多反饋,這種行為是令人驚訝的,特別是對於 go 命令,如 go list,通常沒有副作用。自動修復並不總是可取的:如果任何所需模塊不提供導入的包,Go 命令將添加新的依賴項,可能觸發常見依賴項的升級。即使輸入路徑拼寫錯誤,也會導致(失敗的)網絡查找。
在 golang 1.16 中,module-aware (模塊感知)命令在 go.mod 或 go.sum 中發現問題后報告錯誤,而不是嘗試自動解決問題。在大多數情況下,錯誤消息中列出建議命令來解決問題,例如:
$ go build
example.go:3:8: no required module provides package golang.org/x/net/html; to add it:
go get golang.org/x/net/html
$ go get golang.org/x/net/html
$ go build
golang 1.16 與 Go 之前版本一樣,如果 vendor 目錄存在,Go 命令可能會使用 vendor 目錄。 go get和go mod tidy 命令仍然修改 go.mod 和 go.sum,因為他們的主要目的是管理依賴關系。
04通過指定 @version 后綴安裝特定版本可執行文件
go install 命令現在可以通過指定 @version 后綴安裝特定版本的可執行文件,例如:
go install golang.org/x/tools/gopls@v0.6.5如果使用 @version 后綴,go install 命令使用該確切 Module 版本,忽略當前目錄和父目錄中的任何 go.mod 文件中的 Module 版本。
如果沒有 @version 后綴,go install 繼續運行,因為它一直有,建立程序使用當前模塊的 go.mod 文件中 requirements 列表和 replacements 列表列出的版本。
為了消除使用哪個版本的模糊性,在使用此安裝語法 go install program@latest 時,Go 程序的 go.mod 文件中可能存在幾個限制的指令。特別是,至少目前不允許 replace 和 exclude 指令。從長遠來看,一旦新的 go install program@version 在大多數使用情況下工作的很好的前提下,Go 官方計划在未來某個版本中讓 go get 命令停止安裝二進制文件。
05新增 retract 指令撤回 Module 版本
您是否在模塊版本准備好之前意外地發布了該版本?或者,您是否在發布需要快速修復的版本后發現了問題?已發布版本中的錯誤很難更正。為了保持模塊生成的確定性,版本發布后無法修改。即使您刪除或更改了版本標簽,proxy.golang.org 和其他代理可能已經有原始緩存。
模塊作者現在可以使用 go.mod 中的 retract 指令 retract 模塊版本。retract 的版本仍然存在,可以下載(因此依賴於它的構建不會中斷),但 go 命令在解決 @latest 等版本時不會自動選擇它。go get 和 go list -m -u 會打印有關現有用途的警告。
例如,假設一個流行的庫的作者 example.com/lib 發布 v1.0.5,然后發現一個新的安全問題。他們可以添加指令到他們的 go.mod 文件,例如:
// Remote-triggered crash in package foo. See CVE-2021-01234.
retract v1.0.5
接下來,作者可以 tag 和 push 版本 v1.0.6,新的最高版本。在此之后,已依賴 v1.0.5 的用戶在檢查更新或升級依賴包時將收到撤回通知。通知消息可能包括收回指令上方注釋的文本。例如:
$ go list -m -u all
example.com/lib v1.0.0 (retracted)
$ go get .
go: warning: example.com/lib@v1.0.5: retracted by module author:
Remote-triggered crash in package foo. See CVE-2021-01234.
go: to switch to the latest unretracted version, run:
go get example.com/lib@latest
06使用新增配置變量 GOVCS 指定特定模塊使用特定版本控制工具
go 命令可以從鏡像 proxy.golang.org 或直接從版本控制存儲庫下載模塊源代碼,使用 git、hg、svn、bzr 或 fossil。直接版本控制訪問很重要,尤其是對於代理上不可用的私有模塊,但它也可能是一個安全問題:版本控制工具中的錯誤可能被惡意服務器利用來運行惡意代碼。
Go 1.16 引入了一個新的配置變量 GOVCS,它允許用戶指定哪些模塊允許使用特定的版本控制工具。GOVCS 接受一個逗號分隔的模式列表:vcslist 規則。
模式是一條 path.Match。匹配模式匹配模塊路徑的一個或多個主要元素。公共和私有的特殊模式匹配公共和私有模塊(私有定義為與 GOPRIVATE 中的模式匹配的模塊;公共是其他一切模塊)。vcslist 是允許版本控制命令或關鍵字 all 或 off 的管道分隔列表。例如:
GOVCS=github.com:git,evil.com:off,*:git|hg
使用此設置,可以使用 git 下載帶有 github.com 路徑的模塊;無法使用任何版本控制命令下載 evil.com上的路徑,使用 git 或 hg 下載所有其他路徑(* 匹配所有內容)的模塊。
如果未設置環境變量 GOVCS,或者如果模塊與任何模式不匹配,Go 命令將使用 GOVCS 的默認值:允許 git 和 hg 用於公共模塊,並且允許所有工具用於私有模塊。
設置只允許使用 Git 和 Mercurial 的理由是,這兩個版本控制工具最關注作為不受信任服務器的客戶端運行的問題。相比之下,Bazaar、Fossil 和 Subversion 主要用於受信任的、經過驗證的環境中,而且沒有像 attack surfaces 那樣受到很好的審查。即默認設置為:
GOVCS=public:git|hg,private:all
07Module 未來發展
我們希望您發現這些功能很有用。我們已經開始開發 Go 1.17 的模塊功能,特別是懶惰的模塊加載,這應該使模塊加載過程更快,更穩定。
08總結
本文主要介紹了 Golang 1.16 針對 Module 做的一些變化。通過 Go 官方的這些 Module 變化,切實解決了 Go 用戶在使用 Go 時的實際問題。Go 官方也表示會在 Golang 1.17 計划徹底去除 GOPATH 模式,所以,如果您的項目目前還沒有遷移到 Module 模式,是時候開始遷移了。