Go版本管理--go.sum
<p></p><div class="toc"><div class="toc-container-header">目录</div><ul><li>1. 简介</li><li>2. go.sum文件记录</li><li>3. 生成</li><li>4.校验</li><li>5.校验和数据库</li></ul></div><p></p><h2 id="1-简介">1. 简介</h2>
<p>为了确保一致性构建,Go引入了go.mod文件来标记每个依赖包的版本,在构建过程中go命令会下载go.mod中的依赖包,下载的依赖包会缓存在本地,以便下次构建。</p>
<p><strong>考虑到下载的依赖包有可能是被黑客恶意篡改的,以及缓存在本地的依赖包也有被篡改的可能,单单一个go.mod文件并不能保证一致性构建。</strong></p>
<p>为了解决<code>Go module</code>的这一安全隐患,Go开发团队在引入<code>go.mod</code>的同时也引入了<code>go.sum</code>文件,<strong>用于记录每个依赖包的哈希值</strong>,在构建时,如果本地的依赖包hash值与go.sum文件中记录得不一致,则会拒绝构建。</p>
<p>本节暂不对模块校验细节展开介绍,只从日常应用层面介绍:</p>
<ul>
<li>go.sum 文件记录含义</li>
<li>go.sum文件内容是如何生成的</li>
<li>go.sum是如何保证一致性构建的</li>
</ul>
<h2 id="2-gosum文件记录">2. go.sum文件记录</h2>
<p>go.sum文件中每行记录由<code>module</code> 名, 版本和哈希组成,并由空格分开,格式如下</p>
<pre><code class="language-go"><module> <version> <hash>
</code></pre>
<p>比如某个<code>go.sum</code>文件记录中记录了<code>github.com/google/uuid</code>这个依赖的<code>v.1.1</code>版本的哈希值:</p>
<pre><code class="language-shell">github.com/google/uuid v1.1.1 h1:Gkbcsh/GbpXz7lPftLA3P6TYMwjCLYm83jiFQZF/3gY=
github.com/google/uuid v1.1.1/go.mod h1:TIyPZe4MgqvfeYDBFedMoGGpEw/LqOeaOT+nhxU+yHo=
</code></pre>
<p>在<code>Go module</code>机制下,我们需要<strong>同时使用依赖包的名称和版本</strong>才可以准确的描述一个依赖,为了方便叙述,下面我们使用依赖包版本来指代依赖包名称和版本。</p>
<p>正常情况下,每个依赖包版本会包含两条记录:</p>
<ul>
<li>第一条记录为该依赖包版本整体(所有文件)的哈希值,</li>
<li>第二条记录仅表示该依赖包版本中go.mod文件的哈希值</li>
</ul>
<p>如果该依赖包版本没有<code>go.mod</code>文件,则只有第一条记录。如上面的例子中,v1.1.1表示该依赖包版本整体,而<code>v1.1.1/go.mod</code>表示该依赖包版本中go.mod文件。</p>
<p>依赖包版本中任何一个文件(包括<code>go.mod</code>)改动,都会改变<code>其整体哈希值</code>,此处再 **额 外记录依赖包版本 **的<code>go.mod</code>文件主要用于计算依赖树时不必下载完整的依赖包版本,只根据go.mod即可计算依赖树。</p>
<p>每条记录中的哈希值前均有一个表示哈希算法的h1:,表示后面的哈希值是由算法SHA-256计算出来的,自Go module从v1.11版本初次实验性引入,直至v1.14 ,只有这一个算法。</p>
<p><code>go.sum</code>文件中记录的依赖包版本数量往往比<code>go.mod</code>文件中要多,这是因为二者记录的粒度不同导致的。</p>
<p><code>go.mod</code>只需要记录直接依赖的依赖包版本,只在依赖包版本不包含<code>go.mod</code>文件时候才会记录间接依赖包版本</p>
<p><code>go.sum</code>则是要记录构建用到的所有依赖包版本。</p>
<h2 id="3-生成">3. 生成</h2>
<p>假设我们在开发某个项目,当我们在GOMODULE模式下引入一个新的依赖时,通常会使用go get命令获取该依赖,比如:</p>
<pre><code class="language-go">require (
github.com/google/uuid v1.0.0
)
</code></pre>
<p><code>go.sum</code>文件中则会记录依赖包的哈希值(同时还有依赖包中go.mod的哈希值),如:</p>
<pre><code class="language-shell">github.com/google/uuid v1.0.0 h1:b4Gk+7WdP/d3HZH8EJsZpvV7EtDOgaZLtnaNGIu1adA=
github.com/google/uuid v1.0.0/go.mod h1:TIyPZe4MgqvfeYDBFedMoGGpEw/LqOeaOT+nhxU+yHo=
</code></pre>
<p>值得一提的是,在更新<code>go.sum</code>之前,为了确保下载的依赖包是真实可靠的,go命令在下载完依赖包后还会查询<code>GOSUMDB</code>环境变量所指示的服务器,以得到一个权威的依赖包版本哈希值。如果go命令计算出的依赖包版本哈希值与<code>GOSUMDB</code>服务器给出的哈希值不一致,go命令将拒绝向下执行,也不会更新go.sum文件。</p>
<p>go.sum存在的意义在于,我们希望别人或者在别的环境中构建当前项目时所使用依赖包跟go.sum中记录的是完全一致的,从而达到一致构建的目的。</p>
<h2 id="4校验">4.校验</h2>
<p>假设我们拿到某项目的源代码并尝试在本地构建,go命令会从本地缓存中查找所有go.mod中记录的依赖包,并计算本地依赖包的哈希值,然后与go.sum中的记录进行对比,即检测本地缓存中使用的依赖包版本是否满足项目go.sum文件的期望。</p>
<p>如果校验失败,说明本地缓存目录中依赖包版本的哈希值和项目中go.sum中记录的哈希值不一致,go命令将拒绝构建。<br>
这就是go.sum存在的意义,即如果不使用我期望的版本,就不能构建。</p>
<p>当校验失败时,有必要确认到底是本地缓存错了,还是go.sum记录错了。<br>
需要说明的是,二者都可能出错,本地缓存目录中的依赖包版本有可能被有意或无意地修改过,项目中go.sum中记录的哈希值也可能被篡改过。</p>
<p><strong>当校验失败时,go命令倾向于相信go.sum,因为一个新的依赖包版本在被添加到go.sum前是经过GOSUMDB(校验和数据库)验证过的。此时即便系统中配置了GOSUMDB(校验和数据库),go命令也不会查询该数据库。</strong></p>
<h2 id="5校验和数据库">5.校验和数据库</h2>
<p>环境变量<code>GOSUMDB</code>标识一个<code>checksum database</code>,即校验和数据库,实际上是一个web服务器,该服务器提供查询依赖包版本哈希值的服务。</p>
<p>该数据库中记录了很多依赖包版本的哈希值,比如Google官方的<code>sum.golang.org</code>则记录了所有的可公开获得的依赖包版本。</p>
<p>除了使用官方的数据库,还可以指定自行搭建的数据库,甚至干脆禁用它(<code>export GOSUMDB=off</code>)。</p>
<p>如果系统配置了GOSUMDB,在依赖包版本被写入<code>go.sum</code>之前会向该数据库查询该依赖包版本的哈希值进行二次校验,校验无误后再写入<code>go.sum</code>。</p>
<p>如果系统禁用了<code>GOSUMDB</code>,在依赖包版本被写入<code>go.sum</code>之前则不会进行二次校验,go命令会相信所有下载到的依赖包,并把其哈希值记录到<code>go.sum</code>中。</p>
</div>
<div id="MySignature" role="contentinfo">
♥永远年轻,永远热泪盈眶♥<br><br>
来源:https://www.cnblogs.com/failymao/p/15092623.html
頁:
[1]