Go包管理核心在于统一行为约束:go.mod和go.sum必须提交,变更须经go get/tidy/edit;私有模块需配置GOPRIVATE;vendor是否提交取决于CI构建方式,且必须校验一致性。
Go 包管理直接影响团队能否拉下代码就跑通、上线前是否突然发现依赖冲突、新人入职三小时还在查 go mod download 失败原因——核心问题不在“会不会用”,而在“是否统一约束了行为”。
go.mod 是 Go 模块的唯一事实来源,但它的内容不是靠手写维护的。团队里有人直接改 require github.com/some/lib v1.2.0、有人用 go get -u 升级、还有人本地 replace 临时绕过问题,结果就是:同一份代码,A 的 go build 成功,B 的 go test 报 undefined: somefunc。
go get、go mod tidy 或 go mod edit 触发,再提交生成的 go.mod 和 go.sum
go.sum 必须提交,它不是缓存,而是校验锁——缺少它,CI 可能因镜像源差异拉到被篡改的包go.mod 里写死本地路径 replace example.com/foo => ../foo,这类替换应只出现在开发阶段的 go.work 中(Go 1.18+),且不进主干分
团队用 GitLab 自建仓库放内部 SDK,但 go get 总卡在 verifying github.com/xxx@v0.1.0: checksum mismatch 或直接 401 ——这不是网络或权限问题,是 Go 默认把所有非 golang.org/github.com 域名当公开模块走 proxy,绕过了公司内网认证。
go env -w GOPRIVATE=gitlab.example.com/myorg/*,internal.example.com/*
.envrc(用 direnv)或 Makefile 的 setup 目标里/*,写成 gitlab.example.com/myorg 不生效;多个域名用逗号分隔,不能有空格有些团队坚持 go mod vendor 并提交整个 vendor/ 目录,认为“离线可构建”更稳;另一些团队觉得冗余、Git 体积大、diff 难读。其实关键不在“要不要”,而在“谁负责更新”和“何时验证”。
go build -mod=vendor,那 vendor/ 就是构建必需品,必须提交,并且每次依赖变更后,由 make vendor(封装了 go mod vendor && git add vendor)统一更新go build(默认走 module mode),那 vendor/ 就是纯本地优化,不提交也行,但必须在 .gitignore 明确写入 /vendor,避免误提go mod verify,确保
go.sum 与当前依赖树一致,防人为删改最常被忽略的一点:Go 的模块机制本身不解决“多版本共存”问题。一个服务引用了 libA v1.3,另一个服务组件又强依赖 libA v2.0,这时不是 go mod 能自动隔离的——得靠团队约定模块边界,或拆成独立二进制,而不是指望 replace 在主模块里打补丁撑过上线。