本文永久链接 – https://tonybai.com/2026/01/05/how-ken-thompson-developed-go-language-at-google.

大家好，我是Tony Bai。

为什么 Go 语言极其痛恨复杂的特性？为什么 Go 如此执着于编译速度？我们常说 Go 是一门“工程实用主义”的语言，它的设计哲学是“少即是多”。但你是否想过，这种近乎偏执的简洁，究竟是为了对抗什么？

这一切的答案，都藏在 2007 年 Google 内部的一场 C++ 标准委员会汇报演讲中。当图灵奖得主 Ken Thompson 发现自己竟然“看不懂”新的 C++ 特性时，一颗变革的种子就此埋下。

最近，我重温了这段 Ken Thompson（Unix 之父、Go 语言联合创始人）的珍贵访谈。在访谈中，老爷子毫无保留地讲述了 Go 语言诞生的前因后果。 故事的起点，并非某次高瞻远瞩的战略规划，而是一次“听不懂”的 C++ 技术分享，以及 Google 内部那令人绝望的 45 分钟编译时间。

本文基于 Ken Thompson 的访谈实录，带你回到那个决定性的瞬间，还原 Go 语言诞生背后的真实故事。

压死骆驼的最后一根稻草：C++ 的“新特性”

故事发生在 2007 年左右。当时，Google 内部有一位 C++ 标准委员会（ANSI C++）的代表。

有一天，这位代表刚开完标准会议回来，在 Google 内部做了一场技术分享，向大家介绍 C++ 即将引入的“新特性”（注：推测是指当时的 C++0x，即后来的 C++11 草案）。

Ken Thompson 就在台下。作为发明了 B 语言（C 语言的前身）并重写了 Unix 内核的宗师级人物，他在听完这场一小时的密集分享后，感受到的不是兴奋，而是困惑。

“这所谓的‘新东西’，在我看来比语言本身还要大。”
“那些关于指针的形式，除了指针之外还意味着其他东西……我告诉你，我没听懂。”

想象一下，连 Ken Thompson 都直言自己“没听懂” C++ 的新特性，这说明了什么？

在他看来，这些所谓的“改进”，只是在不断地堆砌复杂度。这场演讲成为了催化剂。Ken 回到办公室，找到了同样对现状不满的 Robert Griesemer 和 Rob Pike。

Ken 的不满在于语言的过度复杂，而 Rob Pike 的痛点则在于 Google 庞大的工程规模。

Google 的工程噩梦：10 行代码与 500 万行编译

当时的 Google 面临着一个前所未有的工程挑战：Monorepo（单一代码仓库）的膨胀。

Ken 在访谈中描述了一个令人窒息的场景：

“在 Google，你可以从任何源文件中引用库。你可能只写了一个 10 行的程序，但最终却需要处理 500 万行的编译量。”

这不是夸张。由于缺乏严格的依赖管理和可见性控制，一个微小的依赖引入，可能会像滚雪球一样，将底层的庞大库（如 Protocol Buffers、基础库等）全部卷入编译过程。

更糟糕的是，头文件（Header files）的包含机制导致了严重的重复劳动。

“像最简单的库，可能会被加载和检查成百上千次。”

虽然 Google 拥有当时世界上最强大的分布式编译集群（成百上千个 CPU 并行工作），虽然工程师们发明了各种缓存机制和 ifdef 技巧来避免重复包含，但物理定律是不可违背的。

编译一个简单的程序，需要等待 15 分钟，甚至 45 分钟。

Rob Pike 对此深恶痛绝。这种低效的开发循环，正在扼杀 Google 工程师的创造力。

三个火枪手与“一票否决权”

于是，在 Google 的一间办公室里，Ken Thompson、Rob Pike 和 Robert Griesemer 聚在了一起。

Ken 说出了那句改变历史的话：

“What are we going to do about it? Let’s write a language.”（我们该怎么办？让我们写个语言吧。）

这是一个完美的互补组合：

• Rob Pike：深刻理解 Google 的工程痛点（依赖地狱、构建速度、大规模协作）。
• Ken Thompson：拥有深厚的语言和编译器构建历史。
• Robert Griesemer：被称为“瑞士军刀般的语言专家”，熟悉理论上存在的所有语言特性，是团队的理论百科全书。

在设计 Go 语言时，他们制定了一个残酷但有效的规则：全员同意原则。

“我们必须都同意某个特性，它才能被加入。仅仅因为‘我想要这个特性’是不够的。”

这个规则过滤掉了绝大多数“花哨但非必要”的特性。Go 语言之所以能保持如此干净、紧凑，正是因为这三位创始人在最初就把住了关口。

遗产与未来

Ken Thompson 在 Go 语言开源并走上正轨后，逐渐淡出了核心开发。但他对 Go 的后续发展给予了极高的评价，特别是对标准库。

“在我离开后，后来的人写了一套极其出色（magnificent）的标准库。”

那之后，这位图灵奖得主在 Google 的工作中，几乎只使用 Go 语言，并且几乎只使用标准库。

他对 Go 的评价朴实无华：

“它很简单。任何人都可以在一小时内学会它。当你写代码时，它运行得足够快，给你即时的反馈。”

小结

重读这段访谈，我们就能理解：

• 为什么 Go 甚至不愿意引入三元运算符？
• 为什么 Go 的依赖管理（Go Modules）对版本控制如此严格？
• 为什么 Go 编译器宁愿牺牲一些优化也要保证极快的编译速度？

因为 Go 从诞生的那一刻起，就是为了反抗 C++ 的过度复杂，和解决 Google 级别的工程规模问题。

它不是为了在编程语言理论上创新，而是为了让像 Ken Thompson 和 Rob Pike 这样的工程师，不再需要在编译期等待 45 分钟，不再需要去猜测一段代码到底在通过指针玩什么花样。

Go 的诞生，是工程实用主义对无节制复杂性的一次伟大胜利。

资料链接：https://www.youtube.com/watch?v=NTrAISNdf70

你的“编译等待”时刻

45分钟的编译时间催生了Go语言。在你的开发生涯中，是否也经历过类似的“编译噩梦”？或者，你是否也曾被某些语言的“过度复杂”劝退过？

欢迎在评论区分享你的故事！ 让我们一起致敬那些为了“简单”而努力的先驱。

如果这篇文章让你对Go语言的设计哲学有了更深的理解，别忘了点个【赞】和【在看】，并转发给身边还在忍受漫长编译的朋友！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

• 告别低效，重塑开发范式
• 驾驭AI Agent(Claude Code)，实现工作流自动化
• 从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/12/21/go-1-26-cryptographic-storm-vault-compliance-vs-go-security

大家好，我是Tony Bai。

近日，一个看似不起眼的 Go 语言issue，在社区引发了一场“地震级”的辩论。这场辩论的主角，一方是 Go 安全团队的灵魂人物 Filippo Valsorda，另一方则是开源安全巨头 Hashicorp Vault 的核心开发者。

辩论的焦点是：Go 1.26 计划“废除” crypto 包中一系列密钥生成函数（如 rsa.GenerateKey）的 rand io.Reader 参数，使其在默认情况下强制使用 crypto/rand.Reader 作为唯一的熵源。

这一变更，对于绝大多数 Gopher 来说，似乎无关痛痒甚至更安全。但对于 Hashicorp Vault 这样需要满足硬件安全模块 (HSM) 和 FIPS 合规性等严苛要求的项目而言，这无异于一场“釜底抽薪”。

这场“加密风暴”，深刻地揭示了 Go 语言在追求普适安全性与满足特定企业级需求之间的永恒张力。

Hashicorp 的“求救”——“我们的核心功能被破坏了”

Hashicorp Vault 的开发者 sgmiller 首先发难。他指出，Vault 的许多客户，出于合规性或审计要求，强制要求所有密钥的生成，必须直接源自经过认证的硬件随机数生成器（通过 PKCS#11 HSM 设备）。

Vault 的实现方式，正是通过 crypto 包中那些 GenerateKey 函数的 rand io.Reader 参数，将来自 HSM 的“硬件熵”直接注入到密钥生成过程中。

Go 1.26 的变更——即保留该参数，但在默认情况下忽略它——将使这一核心功能完全失效。sgmiller 认为，这是一种破坏 API 语义的重大变更，唯一的出路似乎只剩下：
1. Fork 标准库：自行维护一套密钥生成代码，但这将带来巨大的维护成本和安全风险。
2. 依赖一个临时的 GODEBUG 环境变量：但这并非长久之计。

Filippo 的“三连击”——强硬而深刻的回应

Go 安全团队的 Filippo Valsorda 随后给出了堪称“教科书级别”的回应。他的论点层层递进，不仅解释了“为什么这么做”，更深刻地阐述了 Go 团队的安全哲学。

第一击：从安全角度看，你的需求“毫无意义”

Filippo 首先从纯粹的安全角度，直接否定了 Vault 需求的合理性。

“说实话，我看不出这个功能有什么安全意义。如果你担心操作系统的熵池，那就一次性从你的 HSM 读取 256 比特的随机数，然后写入 /dev/urandom。Go（以及其他所有程序）都会在系统熵池的基础上，使用你注入的这份熵。这比你自己实现一个用户空间的 DRBG 要安全得多。”

“我保守估计，你的 PKCS#11 驱动程序、DRBG 或 HSM 本身出 Bug 的概率，是 Linux 内核随机数子系统出 Bug 概率的 100 倍。”

这段话的潜台词是：你以为你在增强安全性，但实际上，你引入的复杂性和潜在的 Bug 源，远比你试图解决的问题更危险。

荒谬的需求，不能靠上游的复杂性来满足

接着，Filippo 展现了惊人的同理心和务实精神。他承认，现实世界中充满了各种“荒谬的”合规要求。

“然而，有时客户就是有一些他们愿意花钱满足的、毫无意义的需求，我懂的！（我TMD就在做 FIPS 140-3 的业务，我怎么会不懂呢？）”

“但是，这些荒谬的需求，不能通过增加上游库的复杂性来满足，因为上游库的目标是真正的安全，而不是帮你勾选审计清单。如果需要，客户的钱应该用来支付变通方案 (workarounds) 的成本。”

在这里，Filippo 明确地划清了界限：Go 标准库的职责，是为 99.999% 的用户提供默认安全、简单清晰的 API。 为了满足极少数用户的、非安全驱动的“合规复选框”，而让标准库的实现和维护变得更加复杂，是一种本末倒置。

第三击：所谓的“破坏”，其实并不存在

最后，Filippo 指出，所谓的“破坏”其实被夸大了。

• Fork 并非洪水猛兽：对于 RSA 密钥生成，自己实现一个符合 Vault 需求的版本，可能只需要“2-5 个工程师日”的工作量。这并非一次“Fork 标准库”的壮举，而是一次小型的、可控的自研。
• FIPS 合规性是个伪命题：他进一步指出，无论是 Go+BoringCrypto 还是原生的 FIPS 模块，在“认证模式”下，从来都不支持通过 io.Reader 参数注入外部熵源。任何这样做的尝试，都会自动退出 FIPS 认证模式。因此，Vault 现有的实现，本就不是 FIPS 兼容的。

辩论的深层——API 语义与确定性密钥生成

这场辩论并未就此结束。Hashicorp 的另一位开发者 jefferai 指出，rand 参数的另一个重要用途是确定性密钥生成 (deterministic key generation)，例如，通过对一组输入进行哈希，得到一个可预测的密钥。这在某些测试和特定协议中非常有用。

Filippo 再次明确了 Go 的设计哲学：

“这正是我们想要避免的。GenerateKey 这个函数，其唯一的语义就是生成随机密钥。如果你想要确定性密钥生成，你需要的是一个明确的规范和实现，而不是通过‘滥用’一个用于注入随机性的参数。”

这揭示了 Go 团队进行此次变更的另一个深层原因：简化 API 语义，消除模糊地带。他们希望 GenerateKey 只做一件事，并把它做好。

Go 社区的核心启示

这场发生在顶尖工程师之间的“神仙打架”，为我们所有 Gopher 带来了几点极其宝贵的启示：

1. 理解 Go 的安全哲学：默认安全
   Go 团队正越来越多地采取一种“家长式”的安全策略：默认提供最安全、最简单的选项，并逐步移除那些可能被误用的“高级”选项。 这要求我们信任标准库，而不是试图用自己的“小聪明”去绕过它。

2. API 设计：清晰的语义胜过一切
   一个 API 的每个参数都应该有其明确、单一的用途。Filippo 的论点提醒我们，不要设计那些可以被“巧妙地滥用”的 API。如果一个功能是必要的，就为它设计一个专门的、语义清晰的 API。

3. 拥抱 GODEBUG：一个“软弃用”的缓冲带
   Go 团队通过 GODEBUG 环境变量，为这类破坏性变更提供了长达数年（通常是 2 年）的过渡期。我们应该学会利用 //go:debug 指令和 godebug go.mod 设置，来有意识地管理这些变更，而不是等到最后期限才手忙脚乱。

小结

这场“加密风暴”，最终以 Go 团队坚持其设计哲学而告终。它或许会让 Hashicorp 这样的重量级用户付出一些额外的开发成本，但从长远来看，一个更简单、更安全、语义更清晰的 crypto 标准库，将使整个 Go 生态受益。

这正是 Go 语言持续成功的秘诀：在无尽的特性需求和复杂的现实世界面前，勇敢地、有时甚至是“固执”地，对复杂性说“不”。

资料链接：https://github.com/golang/go/issues/76856

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

• 告别低效，重塑开发范式
• 驾驭AI Agent(Claude Code)，实现工作流自动化
• 从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。