Golang中Github官方npm的使用指南
Golang中Github官方npm的使用指南
GitHub 是 Go 模块的官方 npm 吗?我的意思是,即使源代码是开放的,我如何“盲目地”信任一个 GitHub 模块?并不是每个人都会去阅读代码。
cmd\main\routes.go:9:2: missing go.sum entry for module providing package github.com/go-chi/chi; to add:
go mod download github.com/go-chi/chi
4 回复
更多关于Golang中Github官方npm的使用指南的实战系列教程也可以访问 https://www.itying.com/category-94-b0.html
在 Go 语言中,没有中央包仓库,任何 Git 托管平台只需稍作配置即可使用。
并且由于 go.sum 文件在每次添加依赖时可能会“随机”变动,我认为确实应该盲目信任它。
func main() {
fmt.Println("hello world")
}
嗯,Go项目的一大优点是:与我工作过的许多其他生态系统相比,它们往往具有更少的依赖项。我与一些同事共事,他们不允许未经审查的代码进入他们的项目(这总是存在安全风险,尽管通常被认为是可接受的)。如果你想了解更多,可以查看 go mod vendor。
在Go语言中,GitHub并不是官方的“npm”,但它是Go模块的主要托管平台。Go使用基于版本控制的模块系统,通过go.mod和go.sum文件管理依赖。关于信任GitHub模块的问题,Go通过go.sum文件提供安全机制,该文件记录模块的加密哈希值,确保下载的代码与预期一致。
对于你遇到的错误,这是因为go.sum文件中缺少github.com/go-chi/chi的条目。以下是解决方法:
- 清理并重新下载依赖:
go clean -modcache
go mod tidy
- 如果问题依旧,手动下载模块:
go mod download github.com/go-chi/chi
- 示例
go.mod文件:
module your-project
go 1.21
require github.com/go-chi/chi v1.5.5 // 确保版本号正确
-
验证
go.sum: 运行go mod verify检查模块完整性。Go会自动验证哈希值,如果与go.sum不匹配,构建会失败。 -
代码示例:
package main
import (
"net/http"
"github.com/go-chi/chi"
)
func main() {
r := chi.NewRouter()
r.Get("/", func(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("Hello World"))
})
http.ListenAndServe(":3000", r)
}
Go的工具链会确保你使用的模块是经过验证的,即使你不阅读源代码,go.sum机制也能防止恶意代码被意外使用。如果模块作者发布新版本,哈希值变化会导致构建失败,除非你显式更新。
