Docker Build-Push Action 中解决私有 Git 依赖认证问题

在基于 Docker Build-Push Action 的 CI/CD 流程中，当项目依赖私有 Git 仓库时，经常会遇到认证失败的问题。本文将深入分析这一常见问题的根源，并提供专业级的解决方案。

问题本质分析

当 Dockerfile 中的 RUN 指令执行 git 相关操作时（如 mix deps.get 获取 Elixir 依赖），系统会尝试访问私有 Git 仓库。此时会出现两种典型错误：

1. "could not read Username for 'https://github.com': No such device or address"
2. "Support for password authentication was removed on August 13, 2021"

这些错误的根本原因是 BuildKit 的 GIT_AUTH_TOKEN 仅适用于直接克隆 Git 源的操作，而不会自动应用于 RUN 指令中的 git 命令调用。

专业解决方案

方案一：Git 配置重写

在 Dockerfile 中通过 secret mount 方式注入 token，并重写 Git 配置：

RUN --mount=type=secret,id=GIT_AUTH_TOKEN \
  set -e && \
  GIT_AUTH_TOKEN=$(cat /run/secrets/GIT_AUTH_TOKEN) && \
  if [ -n "$GIT_AUTH_TOKEN" ]; then \
    git config --global "url.https://${GIT_AUTH_TOKEN}@github.com.insteadof" "https://github.com"; \
  fi && \
  mix deps.get --only $MIX_ENV

关键点说明：

1. 使用 --mount=type=secret 安全地注入 token
2. 通过 git config 重写 URL，将原始 GitHub URL 替换为带 token 的认证 URL
3. 注意移除了 "x-access-token:" 前缀，这是解决密码认证错误的关键

安全最佳实践

1. 确保该配置仅在构建阶段使用，不要在最终镜像中保留
2. 使用最小权限的 token，仅授予必要的仓库访问权限
3. 考虑使用临时 token，设置合理的过期时间

实现原理

此方案利用了 Docker BuildKit 的高级特性：

• Secret mount 机制确保敏感信息不会出现在最终镜像或构建日志中
• Git 的 URL 重写功能实现了透明的认证过程
• 通过环境变量和条件判断确保只在需要时应用配置

适用场景

该方案不仅适用于 Elixir 的 mix 工具，同样适用于：

• Node.js 的 npm/yarn/pnpm
• Python 的 pip
• Ruby 的 bundle
• 任何需要在构建时访问私有 Git 仓库的场景

通过这种专业级的解决方案，开发者可以安全可靠地在 CI/CD 流程中处理私有 Git 依赖，同时遵循最佳安全实践。