vendor — папка в корне проекта, куда копируются все зависимости. Создаётся командой go mod vendor. При наличии vendor Go использует зависимости оттуда, а не из кеша модулей.
Зачем нужен: гарантия воспроизводимой сборки даже если пакет удалят с GitHub, сборка без интернета, аудит зависимостей. Минусы: раздувает репо, нужно обновлять при каждом изменении go.mod.
Сейчас vendor используется реже, потому что Go module proxy (proxy.golang.org) кеширует все пакеты. Но в корпоративных проектах с жёсткими требованиями к безопасности vendor до сих пор актуален.