我想从 Goproxy 中删除我的私人包

【问题标题】:I want to remove my private package from Goproxy我想从 Goproxy 中删除我的私人包
【发布时间】:2020-02-09 00:20:22
【问题描述】:

这是一个 go 模块问题。 我的电脑正在运行 go 1.13,并且 go 模块模式已打开。

这是我的go env

GO111MODULE="on"
GOPRIVATE=""
GOPROXY="https://goproxy.io,direct"

一开始我写了一个公共包用于测试并上传到github。然后我“去拿”这个独立包。之后我将其设为私有,甚至从 github 中删除(我尝试了“git clone”但无法再次下载)。但是在我从 github 中删除它之后,我可以“去获取”它。很快我意识到这个包可能缓存在 goproxy.io 或其他代理数据库中。所以我再次设置了 GOPROXY="direct" 和 "go get" 这个包并且失败了。这个动作证明了我的猜测。

现在是我的问题:

  1. 如何从 goproxy.io 或其他数据库中删除整个包。
  2. 有没有安全的方式使用go模块,我不想把我的私有代码误上传到其他数据库。

我尝试了 STFW,但一无所获。感谢大家阅读和回答这个问题。

【问题讨论】:

  • 您可以使用 Go 模块并将您的包发布到私有存储库。
  • 根据goproxy.io homepage,您可以使用GOPRIVATE=*.corp.example.com 明确指定包含私有存储库的域,同时仍使用公共存储库的代理。
  • 你公开发布了你的包;它(或至少,那个版本)不是私有包。发布后,任何人都可以下载、保存、重新发布它——这就是互联网,一旦发布,您可以取消发布,但永远无法收回。

标签: go go-modules


【解决方案1】:

如果你不小心发布了一个你打算私有的包/模块,那么go.dev: About页面:

删除包

如果您想删除某个包,请发送电子邮件至go-discovery-feedback@google.com,并附上您要删除的导入路径或模块路径。

但正如 Adrian 在 cmets 中提到的,不能保证没有人下载您发布的包。

如果您希望某些包/模块保持私有,您可以在 go 工具尊重的 GOPRIVATEGONOPROXYGONOSUMDB 环境变量中枚举它们(使用 glob 模式)。

Command go: Environment variables:

GOPRIVATE, GONOPROXY, GONOSUMDB
  Comma-separated list of glob patterns (in the syntax of Go's path.Match)
  of module path prefixes that should always be fetched directly
  or that should not be compared against the checksum database.
  See 'go help module-private'.

来自命令go help module-private

GOPRIVATE 环境变量控制 go 命令的模块 认为是私有的(不可公开获得),因此不应使用 代理或校验和数据库。该变量是一个逗号分隔的列表 模块路径前缀的全局模式(在 Go 的 path.Match 的语法中)。

也可以使用go env -w 命令设置这些变量。您可以使用 go help env 获得更多帮助。

【讨论】:

    【解决方案2】:

    对于问题2,我今天试了几次。 如果你想安全地构建一个私有包,你应该做的最重要的事情是在你构建你的包之前设置GOPRIVATE。而GONOPROXY,GONOSUMDB 将自动设置为与GOPRIVATE 相同。 现在你可以将代码和git push 写入一个私人远程仓库并尝试go get 它,你会失败并看到一些类似的错误消息:

    致命:无法读取“https://github.com”的用户名:终端提示已禁用 确认正确输入了导入路径。 如果这是一个私有存储库,请参阅https://golang.org/doc/faq#git_https 了解更多信息。

    该链接告诉我们我们应该使用https 链接和您的用户名/密码,或者如果您将密钥上传到远程ropo,只需将您的https 链接替换为ssh 链接。完成后,你会从你的源地址(你的包名)而不是代理成功go get它。

    接下来,让我们使用go clean -modcache删除所有go模块缓存并设置GOPRIVATE=""。我会测试我们的私有包是否上传到代理。

    案例 1: 设置GOPROXY="https://goproxy.io" 或其他代理,然后设置go get 私有包。 你将面临一个404 Not Found,它告诉你你从代理中找不到任何东西(这意味着没有任何东西被缓存/存储在代理中)。

    案例 2: 设置GOPROXY="direct"(使用你的包名的直接地址)然后go get私有包。 你会面临这样的错误信息:

    验证 {PACKAGENAME}:{PACKAGENAME}:初始化 sumweb.Conn:检查树#{ID}:获取 https://sum.golang.org/tile/8/2/000.p/11:拨号 tcp {IP}:{PORT}:i/o 超时。

    go get 函数将尝试使用您的包检查来自 golang.org 数据库的校验和(我无法直接链接到 google 服务器,因此它显示超时错误/我猜如果您可以链接到 google,您将得到 404服务器)。这表明如果我们尝试go get一个没有设置GOPRIVATE的私有包,你会失败,因为你不能通过检查。

    建议: 如果你想构建你的私有 go 包,你应该首先设置你的 GOPRIVATE 并确保它足够宽以包含你的包名称。

    感谢大家阅读和回答这个问题。

    【讨论】:

      猜你喜欢
      • 2017-03-11
      • 1970-01-01
      • 2021-12-29
      • 2013-11-29
      • 1970-01-01
      • 1970-01-01
      • 2013-06-27
      • 2017-04-22
      • 2022-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode