Golang中设置GOVCS为git能否阻止私有仓库的VCS解析请求？

Golang中设置GOVCS为git能否阻止私有仓库的VCS解析请求？我的使用场景是：我想从一个私有的 Git 仓库导入一个包。该仓库是一个自托管的 GitLab 实例，而且为了增加难度，其 Web 服务器配置为使用双向 TLS，并且 SSH 端口是非默认的。

为了让这个流程正常工作，我做了三件事：

让 go get 使用 git。
在 ~/.gitconfig 中告诉 git 对我的私有 URL 使用 SSH 而不是 HTTPS。
在 ~/.ssh/config 中告诉 SSH 使用非默认端口。

完成这些设置后，以下命令可以正常工作：

GOPRIVATE=git.example.com go get -u -x git.example.com/foo/bar.git

（奇怪的是，如果不设置 GOPRIVATE，这个命令会挂起——原因不明，改天再研究。）

这个命令通过在模块名后添加 .git 解决了问题 1)。

显然，我也可以通过向 git.example.com 或仅仅是 example.com 添加一个元标签来解决问题 1)，该标签会告诉 go get 使用 git。（由于双向 TLS，对于 git.example.com 来说有点奇怪，但我想我可以把元标签添加到没有客户端证书时得到的“Bad Request”错误页面上。）不过，我们暂且假设我目前无法更新这两个网站的元标签。

根据文档，我认为也可以通过设置 GOVCS 环境变量为 git 来强制 go get 使用 git。但实际情况似乎并非如此。

当前行为的示例：

GOVCS=git.example.com:git GOPRIVATE=git.example.com go get -u -x git.example.com/foo/bar

以下命令输出：

$ GOVCS=git.example.com:git GOPRIVATE=git.example.com go get -u -x git.example.com/example/foo
# get https://git.example.com/?go-get=1
# get https://git.example.com/example?go-get=1
# get https://git.example.com/example/foo?go-get=1
# get https://git.example.com/example/foo?go-get=1: 400 Bad Request (0.363s)
# get https://git.example.com/example?go-get=1: 400 Bad Request (0.363s)
# get https://git.example.com/?go-get=1: 400 Bad Request (0.363s)
# get https://git.example.com/?go-get=1
# get https://git.example.com/example/foo?go-get=1
# get https://git.example.com/example?go-get=1
# get https://git.example.com/example?go-get=1: 400 Bad Request (0.045s)
# get https://git.example.com/example/foo?go-get=1: 400 Bad Request (0.045s)
# get https://git.example.com/?go-get=1: 400 Bad Request (0.045s)
go get: unrecognized import path "git.example.com/example/foo": reading https://git.example.com/example/foo?go-get=1: 400 Bad Request

我是否应该提交一个功能请求，允许 GOVCS 环境变量配置 go get 使用哪个 VCS 系统，并跳过 VCS 解析请求？

或者，是否已经有其他方法可以实现这一点？

之前讨论过这个问题吗？

我是 Go 新手，非常感谢任何建议。

更多关于Golang中设置GOVCS为git能否阻止私有仓库的VCS解析请求？的实战教程也可以访问 https://www.itying.com/category-94-b0.html

zlyuanteng 1楼

更多关于Golang中设置GOVCS为git能否阻止私有仓库的VCS解析请求？的实战系列教程也可以访问 https://www.itying.com/category-94-b0.html

根据你的描述，GOVCS 环境变量确实应该能够跳过 VCS 解析请求，但当前行为显示它仍然尝试了 HTTPS 请求。这是因为 GOVCS 的匹配规则和 go get 的工作流程导致的。

GOVCS 的格式是 GOVCS=<module prefix>:<tool>,[...]，但它的作用是在确定使用哪个 VCS 工具后，控制是否允许执行该工具。它不会跳过初始的 go-get 元标签查询阶段。

当 go get 处理一个导入路径时，它会：

首先尝试通过 HTTPS 获取 ?go-get=1 的元数据
如果失败且路径匹配 GOPRIVATE，会尝试使用配置的 VCS 工具
GOVCS 在此阶段检查是否允许使用该 VCS 工具

在你的案例中，由于服务器配置了双向 TLS，HTTPS 请求直接返回 400 错误，导致流程在第一步就失败了。

解决方案是使用 .git 后缀或配置 GIT_TERMINAL_PROMPT 来完全跳过 HTTPS 尝试：

// 方法1：使用.git后缀（你已经在用）
GOPRIVATE=git.example.com go get -u -x git.example.com/foo/bar.git

// 方法2：配置git不尝试HTTPS回退
GIT_TERMINAL_PROMPT=0 GOPRIVATE=git.example.com go get -u -x git.example.com/foo/bar

// 方法3：使用replace指令在go.mod中直接指定git仓库
// 在go.mod中添加：
replace git.example.com/foo/bar => git.example.com:2222/foo/bar.git v0.0.0

require git.example.com/foo/bar v0.0.0

对于你的具体场景，由于是自托管 GitLab 且使用非标准端口，还需要确保 SSH 配置正确：

# ~/.ssh/config 示例
Host git.example.com
    HostName git.example.com
    Port 2222
    User git
    IdentityFile ~/.ssh/id_rsa

关于 GOVCS 的行为，这确实是当前设计的限制。如果你希望改变这种行为，可以向 Go 项目提交功能请求，建议在匹配 GOVCS 规则时跳过 HTTPS 元数据查询。

现有相关讨论可以参考：

Go issue #51345: “cmd/go: GOVCS should allow skipping meta tag checks”
Go issue #50146: “cmd/go: support skipping VCS meta tag fetch for private repos”

当前最可靠的解决方案仍然是使用 .git 后缀，因为它明确告诉 Go 工具链这是一个 Git 仓库，应该直接使用 git 命令而不是尝试 HTTP(S) 查询。