Go 1.11起推荐用go mod管理依赖,需在项目根目录执行go mod init module/path初始化模块;依赖自动写入go.mod需满足import正确且无vendor干扰;go.sum不可禁用,须提交并定期go mod tidy;私有仓库需配置GOPRIVATE和Git凭据。
Go 1.11 起官方推荐用 go mod 管理依赖,不再需要 $GOPATH 严格约束项目路径,但默认开启 GO111MODULE=on 后,未初始化模块的项目会报 go: cannot find main module 这类错误——根本原因不是没写 go.mod,而是当前目录不在模块根下或未执行 go mod init。
如何正确初始化一个 Go 模块
在项目根目录执行:
go mod init example.com/myapp其中
example.com/myapp 是模块路径(module path),它不一定要真实可访问,但需满足:
- 不能是本地相对路径(如
./myapp) - 避免使用
github.com/username/repo以外的域名时,确保将来能映射到实际代码源(否则go get会失败) - 若只是本地实验,可用占位符如
temp/local,但上线前应修正
go.mod 文件,含 module、go 版本声明和空的 require 列表。
添加依赖时为什么有时不写入 go.mod
运行 go run main.go 或 go build 时,Go 会自动下载并记录依赖到 go.mod,但前提是:当前文件中 import 的包确实未被声明。常见静默失败场景:
- import 语句拼错(如
"fmtt"),编译报错但不会触发依赖解析 - 依赖已存在于
vendor/目录且GOFLAGS="-mod=vendor"生效,跳过远程获取 - 模块处于
replace状态,且目标路径未被go list -m all扫描到
go list -m all | grep 包名,有输出才说明已被纳入模块管理。
go.sum 文件变更频繁,能否忽略或禁用
不能安全禁用。go.sum 记录每个依赖及其子依赖的校验和,用于防止供应链投毒。每次 go mod download 或 go get 都可能更新它。容易被误操作的点:
- 手动删掉
go.sum后直接go build,会重新生成,但缺失历史校验项可能导致后续go mod verify失败 - 提交时漏掉
go.sum,CI 构建因校验不一致被拒绝 - 跨团队协作时,有人用
GOINSECURE绕过校验,导致本地go.sum与他人不一致
go.sum,并定期运行 go mod tidy 同步依赖树与校验和。立即学习“go语言免费学习笔记(深入)”;
私有仓库依赖拉取失败怎么办
典型错误是 go get: module github.com/private/repo: Get "https://proxy.golang.org/..." —— Go 默认走公共代理,无法访问内网 Git。解决方式分三步:
- 配置
GOPRIVATE:例如export GOPRIVATE="git.internal.company.com/*",让 Go 对匹配域名跳过代理和校验 - 配置 Git 凭据:确保
git clone https://git.internal.company.com/private/repo能通(如用git config --global url."ssh://git@git.internal.company.com:".insteadOf "https://git.internal.company.com/") - 必要时加
replace:在go.mod中写replace github.com/private/repo => ./local-fork,仅限调试
GOPRIVATE 必须在 go mod 命令执行前生效,Shell 中设置后需重新启动终端或 source 配置。
真正麻烦的不是命令怎么敲,而是模块路径写错、私有域名没进 GOPRIVATE、或者把 go.sum 当日志文件一样清理——这些都会让构建在不同机器上表现不一致。
