目錄
- 01介紹
- 03不自動修改go.mod和go.sum
- 04通過指定@version后綴安裝特定版本可執(zhí)行文件
- 05新增retract指令撤回 Module 版本
- 06使用新增配置變量 GOVCS 指定特定模塊使用特定版本控制工具
- 07Module 未來發(fā)展
- 08總結
01介紹
Golang 1.16 已經正式發(fā)布了,其中 Modules 有一些變化:
- 默認開啟 Modules。
- 不自動修改 go.mod 和 go.sum。
- 通過指定 @version 后綴安裝特定版本可執(zhí)行文件。
- 新增 retract 指令撤回 Module 版本。
- 使用新增配置變量 GOVCS 指定特定模塊使用特定版本控制工具。
golang 1.16 默認開啟 Modules,即使不存在go.mod
,Go 命令現在默認情況下也會在module-aware
(模塊感知)模式下構建包。
在 golang 1.16 中,通過設置關閉GO111MODULE
環(huán)境變量,在GOPATH
模式下構建包仍然是可能的。您還可以將GO111MODULE
設置為auto
,以便在當前目錄或任何父目錄中存在go.mod
文件時啟用module-aware
(模塊感知)模式。您還可以使用go env -w
永久設置GO111MODULE
和其他變量,:
goenv-wGO111MODULE=auto
Go 官方計劃在Go 1.17
中放棄對GOPATH
模式的支持。換句話說,Go 1.17
將忽略GO111MODULE
。如果您的項目不在module-aware
(模塊感知)模式下構建,則現在是時候遷移至module-aware
(模塊感知)模式了。
03不自動修改go.mod和go.sum
在 golang 1.16 之前版本中,當 go 命令發(fā)現go.mod
或go.sum
存在問題時,如缺少require
指令或缺少sum
,它將嘗試自動解決問題。Go 官方收到很多反饋,這種行為是令人驚訝的,特別是對于 go 命令,如go list
,通常沒有副作用。自動修復并不總是可取的:如果任何所需模塊不提供導入的包,Go 命令將添加新的依賴項,可能觸發(fā)常見依賴項的升級。即使輸入路徑拼寫錯誤,也會導致(失敗的)網絡查找。
在 golang 1.16 中,module-aware
(模塊感知)命令在go.mod
或go.sum
中發(fā)現問題后報告錯誤,而不是嘗試自動解決問題。在大多數情況下,錯誤消息中列出建議命令來解決問題,例如:
$ go build
example.go:3:8: no required module provides package golang.org/x/net/html; to add it:
go get golang.org/x/net/html
$ go get golang.org/x/net/html
$ go build
golang 1.16 與 Go 之前版本一樣,如果vendor
目錄存在,Go 命令可能會使用vendor
目錄。go get
和go mod tidy
命令仍然修改go.mod
和go.sum
,因為他們的主要目的是管理依賴關系。
04通過指定@version后綴安裝特定版本可執(zhí)行文件
go install
命令現在可以通過指定@version
后綴安裝特定版本的可執(zhí)行文件,例如:
go install golang.org/x/tools/gopls@v0.6.5
如果使用@version
后綴,go install
命令使用該確切 Module 版本,忽略當前目錄和父目錄中的任何go.mod
文件中的 Module 版本。
如果沒有@version
后綴,go install
繼續(xù)運行,因為它一直有,建立程序使用當前模塊的go.mod
文件中 requirements 列表和 replacements 列表列出的版本。
為了消除使用哪個版本的模糊性,在使用此安裝語法go install program@latest
時,Go 程序的 go.mod 文件中可能存在幾個限制的指令。特別是,至少目前不允許replace
和exclude
指令。從長遠來看,一旦新的go install program@version
在大多數使用情況下工作的很好的前提下,Go 官方計劃在未來某個版本中讓go get
命令停止安裝二進制文件。
05新增retract指令撤回 Module 版本
您是否在模塊版本準備好之前意外地發(fā)布了該版本?或者,您是否在發(fā)布需要快速修復的版本后發(fā)現了問題?已發(fā)布版本中的錯誤很難更正。為了保持模塊生成的確定性,版本發(fā)布后無法修改。即使您刪除或更改了版本標簽,proxy.golang.org
和其他代理可能已經有原始緩存。
模塊作者現在可以使用go.mod
中的retract
指令 retract 模塊版本。retract 的版本仍然存在,可以下載(因此依賴于它的構建不會中斷),但 go 命令在解決@latest
等版本時不會自動選擇它。go get
和go list -m -u
會打印有關現有用途的警告。
例如,假設一個流行的庫的作者example.com/lib
發(fā)布 v1.0.5,然后發(fā)現一個新的安全問題。他們可以添加指令到他們的go.mod
文件,例如:
//Remote-triggeredcrashinpackagefoo.SeeCVE-2021-01234.
retractv1.0.5
接下來,作者可以 tag 和 push 版本 v1.0.6,新的最高版本。在此之后,已依賴 v1.0.5 的用戶在檢查更新或升級依賴包時將收到撤回通知。通知消息可能包括收回指令上方注釋的文本。例如:
$ go list -m -u all
example.com/lib v1.0.0 (retracted)
$ go get .
go: warning: example.com/lib@v1.0.5: retracted by module author:
Remote-triggered crash in package foo. See CVE-2021-01234.
go: to switch to the latest unretracted version, run:
go get example.com/lib@latest
06使用新增配置變量 GOVCS 指定特定模塊使用特定版本控制工具
go 命令可以從鏡像proxy.golang.org
或直接從版本控制存儲庫下載模塊源代碼,使用 git、hg、svn、bzr 或 fossil。直接版本控制訪問很重要,尤其是對于代理上不可用的私有模塊,但它也可能是一個安全問題:版本控制工具中的錯誤可能被惡意服務器利用來運行惡意代碼。
Go 1.16 引入了一個新的配置變量 GOVCS,它允許用戶指定哪些模塊允許使用特定的版本控制工具。GOVCS 接受一個逗號分隔的模式列表:vcslist 規(guī)則。
模式是一條path.Match
。匹配模式匹配模塊路徑的一個或多個主要元素。公共和私有的特殊模式匹配公共和私有模塊(私有定義為與 GOPRIVATE 中的模式匹配的模塊;公共是其他一切模塊)。vcslist 是允許版本控制命令或關鍵字 all 或 off 的管道分隔列表。例如:
GOVCS=github.com:git,evil.com:off,*:git|hg
使用此設置,可以使用 git 下載帶有github.com
路徑的模塊;無法使用任何版本控制命令下載evil.com
上的路徑,使用 git 或 hg 下載所有其他路徑(*
匹配所有內容)的模塊。
如果未設置環(huán)境變量 GOVCS,或者如果模塊與任何模式不匹配,Go 命令將使用 GOVCS 的默認值:允許 git 和 hg 用于公共模塊,并且允許所有工具用于私有模塊。
設置只允許使用 Git 和 Mercurial 的理由是,這兩個版本控制工具最關注作為不受信任服務器的客戶端運行的問題。相比之下,Bazaar、Fossil 和 Subversion 主要用于受信任的、經過驗證的環(huán)境中,而且沒有像 attack surfaces 那樣受到很好的審查。即默認設置為:
GOVCS=public:git|hg,private:all
07Module 未來發(fā)展
我們希望您發(fā)現這些功能很有用。我們已經開始開發(fā) Go 1.17 的模塊功能,特別是懶惰的模塊加載,這應該使模塊加載過程更快,更穩(wěn)定。
08總結
本文主要介紹了 Golang 1.16 針對 Module 做的一些變化。通過 Go 官方的這些 Module 變化,切實解決了 Go 用戶在使用 Go 時的實際問題。Go 官方也表示會在 Golang 1.17 計劃徹底去除GOPATH
模式,所以,如果您的項目目前還沒有遷移到 Module 模式,是時候開始遷移了。
到此這篇關于Golang 1.16 中 Modules的主要變化更新的文章就介紹到這了,更多相關Golang Modules變化內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
您可能感興趣的文章:- 解析GOROOT、GOPATH、Go-Modules-三者的關系
- 解決goland 導入項目后import里的包報紅問題
- Go 自定義package包設置與導入操作
- goland 設置project gopath的操作
- 解決Goland 同一個package中函數互相調用的問題
- 淺談golang package中init方法的多處定義及運行順序問題
- Goland使用Go Modules創(chuàng)建/管理項目的操作