GitHub Actions Toolkit中@actions/cache依赖问题分析

GitHub Actions Toolkit是GitHub官方提供的用于构建GitHub Actions的工具集合，其中@actions/cache模块用于在workflow运行之间缓存和恢复文件。近期发布的@actions/cache@4.0.0版本引入了一个潜在的依赖问题，值得开发者关注。

问题背景

在@actions/cache@4.0.0版本中，新增了对twirp-ts库的依赖，而该依赖链最终引入了存在维护问题的inflight模块。inflight模块已被官方标记为不再支持，并存在内存管理问题。安全扫描工具Snyk已将其标记为需要注意的问题(SNYK-JS-INFLIGHT-6095116)。

依赖链分析

完整的依赖路径为： @actions/cache@4.0.0 → twirp-ts@2.5.0 → dot-object@2.1.5 → glob@7.2.3 → inflight@1.0.6

其中存在两个关键问题点：

1. glob@7.2.3已被标记为不再支持，官方建议升级至v9以上版本
2. inflight@1.0.6已被废弃，官方建议使用lru-cache替代

更深层次的问题

进一步调查发现，twirp-ts库本身已处于维护模式，不再进行新版本发布。该库的CI测试仅针对已终止支持的Node.js 14.x和15.x版本，在较新的Node.js 20-23版本上测试失败。

这种状况表明：

1. 依赖链中的关键组件已失去维护
2. 对现代Node.js环境的兼容性存在问题
3. 引入此类依赖会增加项目的长期维护风险

解决方案

GitHub Actions团队迅速响应了这个问题，在@actions/cache@4.0.1版本中移除了对twirp-ts的运行时依赖，从根本上解决了这个依赖链问题。

经验教训

这个案例为开发者提供了几个重要启示：

1. 引入新依赖时需要全面评估其依赖链的健康状况
2. 关注依赖组件的维护状态和更新频率
3. 定期使用安全扫描工具检查项目依赖
4. 优先选择活跃维护的开源组件

对于使用GitHub Actions的开发者，建议及时升级到@actions/cache@4.0.1或更高版本，以避免潜在的维护风险。