go 代码依赖项的来源可通过 go 依赖库管理器验证。首先启用 go modules，然后使用 go mod verify 命令验证下载的依赖关系 gosum 文件的真实性。可使用 -check 标志配置验证粒度（sum、full）。实战案例中，go mod verify -check=sum 可验证指定依赖项的来源。

如何使用 Go 依赖库管理器验证依赖项的来源

确保 Go 代码依赖关系的来源是至关重要的。Go 依赖库管理器（也称为 Go Modules）为验证依赖关系来源提供了一个内置机制。

启用 Go Modules

在开始验证来源之前，你需要启用 Go Modules。为此，请在项目根目录中创建一个 go.mod 文件。

验证依赖关系来源

Go Modules 使用 GoSum 文件校验下载的依赖关系。你可以使用 go mod verify 命令验证这些文件的真实性。

go mod verify

此命令将验证所有声明的依赖关系的 GoSum 文件是否与实际下载的文件匹配。如果发现任何差异，它将打印一个错误。

配置 module验证的计划

go mod verify 命令有一个 -check 标志，允许你配置模块验证的粒度。默认情况下，它设置为 off，这意味着它只检查文件下载后的完整性。你可以将此标志设置为 sum 以在下载文件之前检查它们的完整性，或者将此标志设置为 full 以执行更严格的检查。

go mod verify -check=sum

实战案例

假设你有一个带有以下依赖关系的 Go 项目：

require (
    <a style='color:#f60; text-decoration:underline;' href="https://www.php.cn/zt/15841.html" target="_blank">git</a>hub.com/go-chi/chi v5.0.1
    github.com/go-chi/cors v0.5.0
)

你可以使用以下命令验证这些依赖关系的来源：

go mod verify -check=sum

此命令将下载并验证 github.com/go-chi/chi 和 github.com/go-chi/cors 的 GoSum 文件。如果发现任何差异，它将打印一个错误。