go.mod定义模块依赖与版本,go.sum验证依赖完整性;前者声明所需依赖并可手动编辑,后者由工具自动生成和维护,确保下载的模块未被篡改,两者共同保障构建一致性与安全性。
go.mod 和 go.sum 都是 Go 模块机制中的核心文件,它们共同协作来管理项目的依赖,但职责不同。
go.mod:定义模块和依赖声明
go.mod 文件是模块的根配置文件,主要作用是:
- 声明当前模块的名称(即导入路径)
- 列出项目直接依赖的模块及其版本要求
- 指定 Go 的版本兼容性
- 可包含 replace、exclude 等指令用于调试或排除特定版本
例如:
module example.com/myappgo 1.20
require ( github.com/gin-gonic/gin v1.9.1 golang.org/x/text v0.10.0 )
这个文件是你手动或通过 go get 自动生成的,表达的是“我需要哪些依赖”。
立即学习“go语言免费学习笔记(深入)”;
go.sum:记录依赖的校验和
go.sum 文件用来保证依赖的完整性与安全性,它的作用是:
- 记录每个依赖模块(包括间接依赖)的内容哈希值
- 在下载模块时验证其内容是否被篡改
- 确保不同机器、不同时间构建的一致性
每行记录一个模块版本的两种哈希(zip 文件内容和整个模块元数据):
github.com/gin-gonic/gin v1.9.1 h1:abc123... github.com/gin-gonic/gin v1.9.1/go.mod h1:def456...这些内容由 Go 工具链自动维护,你不应手动修改。
关键区别总结
- 用途不同:go.mod 声明“要什么”,go.sum 验证“是否正确”
- 可编辑性不同:go.mod 可以手动调整,go.sum 一般不手动改
- 影响范围不同:go.mod 决定依赖版本,go.sum 不影响选择,只做校验
- 缺失后果不同:没有 go.sum 会重新下载并生成,没有 go.mod 则无法识别为模块
基本上就这些。两个文件都应该提交到版本控制系统中,确保团队构建一致且安全。
