本文轉載,目的方便查閱
01介紹
Golang 1.16 已經正式發布了,其中 Modules 有一些變化:
- 默認開啟 Modules,
- 不自動修改
go.mod和go.sum, - 通過指定
@version后綴安裝特定版本可執行檔案, - 新增
retract指令撤回 Module 版本, - 使用新增配置變數 GOVCS 指定特定模塊使用特定版本控制工具,
02默認開啟 Modules
golang 1.16 默認開啟 Modules,即使不存在 go.mod,Go 命令現在默認情況下也會在 module-aware(模塊感知)模式下構建包,
在 golang 1.16 中,通過設定關閉 GO111MODULE 環境變數,在 GOPATH 模式下構建包仍然是可能的,您還可以將 GO111MODULE 設定為 auto,以便在當前目錄或任何父目錄中存在 go.mod 檔案時啟用 module-aware (模塊感知)模式,您還可以使用 go env -w 永久設定 GO111MODULE 和其他變數,:
go env -w GO111MODULE=auto
Go 官方計劃在 Go 1.17 中放棄對 GOPATH 模式的支持,換句話說,Go 1.17 將忽略 GO111MODULE,如果您的專案不在 module-aware (模塊感知)模式下構建,則現在是時候遷移至 module-aware (模塊感知)模式了,
03不自動修改 go.mod 和 go.sum
在 golang 1.16 之前版本中,當 go 命令發現 go.mod 或 go.sum 存在問題時,如缺少 require 指令或缺少 sum,它將嘗試自動解決問題,Go 官方收到很多反饋,這種行為是令人驚訝的,特別是對于 go 命令,如 go list,通常沒有副作用,自動修復并不總是可取的:如果任何所需模塊不提供匯入的包,Go 命令將添加新的依賴項,可能觸發常見依賴項的升級,即使輸入路徑拼寫錯誤,也會導致(失敗的)網路查找,
在 golang 1.16 中,module-aware (模塊感知)命令在 go.mod 或 go.sum 中發現問題后報告錯誤,而不是嘗試自動解決問題,在大多數情況下,錯誤訊息中列出建議命令來解決問題,例如:
$ go build
example.go:3:8: no required module provides package golang.org/x/net/html; to add it:
go get golang.org/x/net/html
$ go get golang.org/x/net/html
$ go build
golang 1.16 與 Go 之前版本一樣,如果 vendor 目錄存在,Go 命令可能會使用 vendor 目錄, go get和go mod tidy 命令仍然修改 go.mod 和 go.sum,因為他們的主要目的是管理依賴關系,
04通過指定 @version 后綴安裝特定版本可執行檔案
go install 命令現在可以通過指定 @version 后綴安裝特定版本的可執行檔案,例如:
go install golang.org/x/tools/[email protected]如果使用 @version 后綴,go install 命令使用該確切 Module 版本,忽略當前目錄和父目錄中的任何 go.mod 檔案中的 Module 版本,
如果沒有 @version 后綴,go install 繼續運行,因為它一直有,建立程式使用當前模塊的 go.mod 檔案中 requirements 串列和 replacements 串列列出的版本,
為了消除使用哪個版本的模糊性,在使用此安裝語法 go install program@latest 時,Go 程式的 go.mod 檔案中可能存在幾個限制的指令,特別是,至少目前不允許 replace 和 exclude 指令,從長遠來看,一旦新的 go install program@version 在大多數使用情況下作業的很好的前提下,Go 官方計劃在未來某個版本中讓 go get 命令停止安裝二進制檔案,
05新增 retract 指令撤回 Module 版本
您是否在模塊版本準備好之前意外地發布了該版本?或者,您是否在發布需要快速修復的版本后發現了問題?已發布版本中的錯誤很難更正,為了保持模塊生成的確定性,版本發布后無法修改,即使您洗掉或更改了版本標簽,proxy.golang.org 和其他代理可能已經有原始快取,
模塊作者現在可以使用 go.mod 中的 retract 指令 retract 模塊版本,retract 的版本仍然存在,可以下載(因此依賴于它的構建不會中斷),但 go 命令在解決 @latest 等版本時不會自動選擇它,go get 和 go list -m -u 會列印有關現有用途的警告,
例如,假設一個流行的庫的作者 example.com/lib 發布 v1.0.5,然后發現一個新的安全問題,他們可以添加指令到他們的 go.mod 檔案,例如:
// Remote-triggered crash in package foo. See CVE-2021-01234.
retract v1.0.5
接下來,作者可以 tag 和 push 版本 v1.0.6,新的最高版本,在此之后,已依賴 v1.0.5 的用戶在檢查更新或升級依賴包時將收到撤回通知,通知訊息可能包括識訓指令上方注釋的文本,例如:
$ go list -m -u all
example.com/lib v1.0.0 (retracted)
$ go get .
go: warning: example.com/[email protected]: retracted by module author:
Remote-triggered crash in package foo. See CVE-2021-01234.
go: to switch to the latest unretracted version, run:
go get example.com/lib@latest
06使用新增配置變數 GOVCS 指定特定模塊使用特定版本控制工具
go 命令可以從鏡像 proxy.golang.org 或直接從版本控制存盤庫下載模塊源代碼,使用 git、hg、svn、bzr 或 fossil,直接版本控制訪問很重要,尤其是對于代理上不可用的私有模塊,但它也可能是一個安全問題:版本控制工具中的錯誤可能被惡意服務器利用來運行惡意代碼,
Go 1.16 引入了一個新的配置變數 GOVCS,它允許用戶指定哪些模塊允許使用特定的版本控制工具,GOVCS 接受一個逗號分隔的模式串列:vcslist 規則,
模式是一條 path.Match,匹配模式匹配模塊路徑的一個或多個主要元素,公共和私有的特殊模式匹配公共和私有模塊(私有定義為與 GOPRIVATE 中的模式匹配的模塊;公共是其他一切模塊),vcslist 是允許版本控制命令或關鍵字 all 或 off 的管道分隔串列,例如:
GOVCS=github.com:git,evil.com:off,*:git|hg
使用此設定,可以使用 git 下載帶有 github.com 路徑的模塊;無法使用任何版本控制命令下載 evil.com上的路徑,使用 git 或 hg 下載所有其他路徑(* 匹配所有內容)的模塊,
如果未設定環境變數 GOVCS,或者如果模塊與任何模式不匹配,Go 命令將使用 GOVCS 的默認值:允許 git 和 hg 用于公共模塊,并且允許所有工具用于私有模塊,
設定只允許使用 Git 和 Mercurial 的理由是,這兩個版本控制工具最關注作為不受信任服務器的客戶端運行的問題,相比之下,Bazaar、Fossil 和 Subversion 主要用于受信任的、經過驗證的環境中,而且沒有像 attack surfaces 那樣受到很好的審查,即默認設定為:
GOVCS=public:git|hg,private:all
07Module 未來發展
我們希望您發現這些功能很有用,我們已經開始開發 Go 1.17 的模塊功能,特別是懶惰的模塊加載,這應該使模塊加載程序更快,更穩定,
08總結
本文主要介紹了 Golang 1.16 針對 Module 做的一些變化,通過 Go 官方的這些 Module 變化,切實解決了 Go 用戶在使用 Go 時的實際問題,Go 官方也表示會在 Golang 1.17 計劃徹底去除 GOPATH 模式,所以,如果您的專案目前還沒有遷移到 Module 模式,是時候開始遷移了,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/263183.html
標籤:Go