“包管理器是万恶之源”:一次来自Odin语言作者的灵魂拷问
本文永久链接 – https://tonybai.com/2025/09/13/package-managers-are-evil
大家好,我是Tony Bai。
“包管理器是万恶之源 (Package Managers are Evil)。”
这句石破天惊的论断,出自Odin语言的创造者Ginger Bill最近发表的一篇博文。在一个npm install、pip install、go get已经成为开发者肌肉记忆的时代,这无异于一篇挑战整个现代软件开发基石的“檄文”。
对于我们这些深度依赖go mod的Gopher来说,这无疑也是一次直击灵魂的拷问。我们早已习惯了Go Modules带来的便利——它解决了版本锁定、依赖传递和可复现构建等核心问题,被公认为Go生态走向成熟的里程碑。但我们是否在享受便利的同时,也正在“自动化我们的依赖地狱”?
Ginger Bill的这篇文章并非无的放矢的抱怨,而是一次对开发者文化、信任模型和软件工程第一性原理的深刻反思。让我们直面这次拷问,并以此为镜,重新审视我们与go mod的关系。
核心论点:包管理器是“依赖地狱的自动化”
首先,Ginger Bill做了一个关键的区分,他的矛头并非指向:
- 包(Packages): 代码组织单元。
- 仓库(Repositories): 发现和存储包的地方(如GitHub)。
- 构建系统(Build Systems): 编译和链接代码的工具。
他精准地将炮火对准了包管理器(Package Managers)的核心功能:自动化地下载、解析和处理依赖关系。
他认为,这正是问题的根源所在。“依赖地狱”(Dependency Hell)是一个真实存在的、困扰着所有大型项目的难题——成千上万个你并不真正了解的传递依赖,版本冲突、潛在的bug、未知的安全漏洞,共同构成了一个巨大的泥潭。
而包管理器的作用,就是“将这个通往地狱的过程自动化了”。
他辛辣地指出:“不是所有能被自动化的东西,都应该被自动化,尤其是依赖地狱。”
他的核心观点是,npm install或go get这种一键式的便利,剥夺了开发者一个至关重要的环节:思考。
“当你必须手动下载和集成一个库时,你会开始思考:‘我也许并不需要这个’,或者‘我可以用别的方式来实现’。当需要更新时,手动操作会迫使你变得非常小心。”
这种被刻意放慢的、充满“摩擦力”的过程,迫使开发者去审视每一个引入的依赖,将其视为一个严肃的决策,而不是一次随意的命令行敲击。
Go的悖论:一个“幸免于难”的生态?
有趣的是,在Ginger Bill的批判中,Go被作为一个相对正面的例子提及。他观察到,即便Go拥有一个内置的包管理器,但大多数Go开发者似乎并不需要引入大量的第三方包。
“通往地狱的入口似乎又远又难走。”
为什么Go生态在一定程度上抵御了其他生态(如JavaScript)中那种失控的依赖爆炸?答案在于Go语言的设计哲学:“自带电池”(Batteries Included)。
Go拥有一个极其强大和全面的标准库。你想构建一个高性能的Web服务器?net/http就在那里。你需要处理JSON、加密、模板或者并发?标准库为你提供了一流的、经过实战检验的工具。你甚至可以在标准库里找到一个完整的Go编译器。
这种设计极大地降低了对外部微小、功能单一的“工具包”的依赖。当标准库就能满足80%的需求时,开发者自然不会像在其他生态中那样,为了实现一个最基本的功能(比如left-pad)就去引入一个外部依赖。
然而,这并不意味着Go开发者可以高枕无忧。go mod依然是一个强大的自动化工具,当我们开始引入大型框架(如Gin、GORM)或复杂的SDK时,我们同样面临着瞬间引入数十甚至上百个传递依赖的风险。
每一个依赖,都是你签下的一份“责任状”
文章中最深刻的观点之一,是对“依赖”一词含义的重新诠释。
“在现实生活中,当你有一个依赖时,你要对它负责。如果你的孩子或你的公司做错了事,你可能会因此进监狱。包依赖与此相去不远,但人们却在几乎没有任何验证的情况下就信任了它们。”
每一个go get下来的包,都是一份你自愿承担的负债。你不仅要为它的安全漏洞负责,还要为它的bug、为它未来可能停止维护的风险负责。
作者以他自己使用著名C库SDL2的痛苦经历为例。尽管SDL2被数百万人使用,但他的团队却不断踩到其中的bug,最终决定自己从头编写窗口和输入处理系统。“至少这是我们自己的代码,当出问题时我们可以依赖和修复它。”
“我不是在提倡一切都从头造轮子,” 作者澄清道,“我只是希望我们能认识到,每一个依赖都是一份负债。”
文化反思:程序员世界里的“盖尔曼遗忘效应”
为什么我们会如此轻易地信任来自互联网的随机代码?文章引用了ThePrimeagen的一个精彩论点:编程界的“盖尔曼遗忘效应”(Gell-Mann Amnesia Effect)。
这个效应描述了一种现象:当你在报纸上读到一篇关于你所精通领域的文章时(比如马术),你会发现其中充满了错误和误解。然后,你翻到下一页,读到一篇关于你不了解的领域(比如JavaScript)的文章,你又会理所当然地认为它是完全正确的。你瞬间忘记了刚刚才亲身验证过的、媒体的不可靠性。
程序员也存在同样的问题:
“你会发现工程师们一边说‘我的一些同事太可怕了’,一边又说‘嘿,让我从网上下载这个库,这肯定很棒’。他们看着自己公司三分之一的员工无法写出像样的代码,同时又选择信任他们下载的每一个开源包。”
我们对自己身边代码的质量持怀疑态度,却对那些由“开源大神”(他们可能和我们糟糕的同事是同一水平)编写的代码抱有不切实际的、过高的信任。
小结:给Gopher的启示——如何与go mod共存?
Ginger Bill的结论是激进的:如果可能,应该避免使用包管理器。对于大多数在团队中工作的Go开发者来说,这显然是不现实的。go mod是Go生态协作的基石,我们不可能回到手动管理依赖的蛮荒时代。
然而,这篇文章的价值不在于它的结论,而在于它提出的哲学框架。它像一面镜子,让我们反思我们与go mod的关系。我们可以从中提炼出几条适用于Gopher的行动指南:
- 将go get视为一个严肃的架构决策:在引入任何新的依赖之前,进行尽职调查。检查它的代码质量、社区活跃度、issue列表和维护状态,虽然这会给你带来不小的额外工作量。
- 永远优先选择标准库:在寻求外部解决方案之前,先问自己:“这个问题,std库里真的没有解决方案吗?” 往往答案是有的,只是需要你多花一点时间去挖掘。
- 适当优先地拥抱代码生成,而非黑盒框架:在某些场景下,使用代码生成工具(如sqlc)可能比引入一个庞大的ORM框架(它会带来一整套复杂的依赖和抽象)更“简单”,因为它产出的是你可以直接阅读和控制的代码。
- 定期审计你的依赖树:使用go mod graph和go list -m all来审视你的项目究竟依赖了什么。对于那些不再需要,或者有更好替代品的依赖,要勇于清理。别忘了Go Proverbs中的那一条:A little copying is better than a little dependency。
Go的“自带电池”哲学给了我们一个得天独厚的优势,让我们能更容易地践行“少即是多”的依赖管理原则。最好的包管理器,或许就是那个你用得最少的。 而go mod的真正强大之处,可能不在于它能多么轻易地帮我们添加依赖,而在于它通过一个强大的标准库,让我们在很多时候,根本无需想起它。
想系统学习Go,构建扎实的知识体系?
我的新书《Go语言第一课》是你的首选。源自2.4万人好评的极客时间专栏,内容全面升级,同步至Go 1.24。首发期有专属五折优惠,不到40元即可入手,扫码即可拥有这本300页的Go语言入门宝典,即刻开启你的Go语言高效学习之旅!
商务合作方式:撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求,请扫描下方公众号二维码,与我私信联系。
评论