vendor目录是go模块依赖的本地快照,仅在显式启用-mod=vendor时生效,不改变模块解析逻辑,也不处理replace/exclude规则、构建约束或间接依赖恢复。
vendor 目录是 Go 模块依赖的本地快照,不是“手动下载依赖”的替代方案
Go 1.11+ 默认启用 go mod,vendor 目录仅在明确启用 -mod=vendor 或设置 GOFLAGS=-mod=vendor 时生效。它不改变模块解析逻辑,只是把 go.mod 声明的依赖内容复制到本地 vendor/ 下——相当于一次“冻结快照”。如果你用 go build 却没加 -mod=vendor,Go 会完全忽略 vendor/,仍走代理拉取网络依赖。
- 生成 vendor:运行
go mod vendor(注意:该命令不校验go.sum,也不自动更新go.mod) - 强制使用 vendor:必须显式传参,如
go test -mod=vendor ./...或GOFLAGS=-mod=vendor go run main.go - CI/CD 中常见误操作:只执行
go mod vendor,却忘记在构建命令中加-mod=vendor,导致看似用了 vendor 实际仍连外网
go mod vendor 不包含 replace 和 exclude 的副作用
go.mod 中的 replace 和 exclude 是模块加载期的重写规则,而 go mod vendor 只按最终解析出的模块路径和版本复制文件,不会把 replace 指向的本地路径也拷进去。比如你写了 replace github.com/foo/bar => ../bar,go mod vendor 仍会从 github.com/foo/bar@v1.2.3 拉取原始内容,而不是你本地修改的 ../bar。
- 若需 vendor 中包含本地修改,得先用
go mod edit -replace把replace转成真实 commit hash +go get拉下来,再go mod vendor -
exclude同理:被排除的模块不会出现在vendor/,但它的间接依赖若未被排除,仍可能被拉入 —— vendor 目录本身不保证“干净隔离” - 检查是否漏掉替换:对比
go list -m all | grep foo和ls vendor/github.com/foo/是否一致
vendor 目录无法解决跨平台构建时的 //go:build 约束问题
vendor/ 只复制源码,不处理构建约束(//go:build)。如果某个依赖里有 foo_linux.go 和 foo_darwin.go,且两者都含冲突的符号,那么在 macOS 上 go build -mod=vendor 仍会按平台自动筛选,和不用 vendor 行为一致。vendor 不等于“锁定所有编译行为”。
- 交叉编译时容易出错:比如在 Linux 上
GOOS=windows go build -mod=vendor,若 vendor 中混入了非 Windows 兼容的构建 tag 逻辑,仍会编译失败 - 验证方式:用
go list -f '{{.Stale}}' -mod=vendor ./...查看哪些包因构建约束被跳过 - 真正需要锁定构建结果的场景(如 FIPS 合规),vendor 不够,得配合
go mod download -json+ 校验和固化
删除 vendor 后 go mod tidy 不会自动还原被删的间接依赖
go mod tidy 只根据当前代码里的 import 语句添加直接依赖,并清理未引用的模块;它不读取 vendor/ 内容,也不会因为 vendor 曾存在过就保留某个间接依赖。所以如果你删了 vendor/,又没运行过 go mod graph 或没保留 go.sum,某些间接依赖的精确版本可能丢失。
立即学习“go语言免费学习笔记(深入)”;
- 安全做法:删 vendor 前先运行
go mod graph | grep 'some-indirect-module'确认其版本来源 - 恢复 vendor 的最小代价操作是:确保
go.sum完整 →go mod download→go mod vendor,而非依赖tidy - CI 中建议把
go.sum和go.mod一起提交,vendor 目录可选 —— 因为go.sum才是依赖完整性的权威记录
vendor 的本质是“可选的、带开关的依赖缓存”,它不改变 Go 模块系统的底层规则。最容易被忽略的是:没有 -mod=vendor,vendor 就是废文件夹;而有了它,又得同步管住所有子命令(test、run、install)的参数。真要离线构建,别只盯 vendor 目录,先锁死 go.sum 和 Go 版本。
