Mozilla sccache项目在GHA后端使用中遇到的权限问题解析

问题背景

Mozilla sccache是一个分布式编译缓存工具，能够显著提升编译速度。近期在sccache 0.7.5版本中，用户在使用GitHub Actions(GHA)作为缓存后端时遇到了"PermissionDenied (permanent) at stat"的错误问题。这个问题主要出现在使用--locked标志安装时，表明可能与依赖锁定有关。

问题现象

当用户尝试在自托管的GitHub Enterprise Server(GHES)环境中使用sccache的GHA后端时，系统会抛出权限拒绝错误。具体表现为：

1. 使用sccache 0.7.5版本时，10/10次复现该问题
2. 错误发生在检查.sccache_check文件时
3. 不使用--locked标志安装时问题消失，表明依赖更新可能修复了该问题

技术分析

通过日志分析发现，问题根源在于OpenDAL库的行为变更。在较新版本中：

1. OpenDAL会先发送一个HEAD请求(stat操作)来获取文件内容长度
2. 但GitHub生成的预签名URL仅允许GET请求
3. 因此HEAD请求失败，导致权限错误

对比成功和失败的日志可以发现关键差异：

• 成功案例：直接通过Git域名访问，不涉及AWS S3 URL
• 失败案例：解析到AWS S3 URL并使用该URL，但HEAD请求被拒绝

解决方案

OpenDAL社区已经合并了修复该问题的PR，主要变更包括：

1. 不再使用HEAD请求检查文件状态
2. 改为发送带空范围的GET请求作为替代方案
3. 这种变更兼容了仅允许GET请求的预签名URL场景

验证表明，使用修复后的OpenDAL版本(d18782a)可以成功解决问题。该修复已包含在OpenDAL 0.44.2版本中。

临时解决方案

对于无法立即升级的用户，可以考虑以下临时方案：

1. 不使用--locked标志安装sccache，允许依赖更新
2. 回退到已知正常工作的版本(f739e221，使用OpenDAL 0.41)

最佳实践建议

1. 定期更新sccache及其依赖项
2. 在使用预签名URL的场景下，确保所有必要的HTTP方法都被允许
3. 对于关键CI/CD流水线，考虑固定已知稳定的版本组合
4. 遇到类似问题时，启用SCCACHE_ERROR_LOG和SCCACHE_LOG=debug收集详细日志

这个问题展示了分布式系统中缓存层与认证机制交互时可能出现的微妙问题，特别是在涉及预签名URL和多HTTP方法支持的场景下。通过社区协作和详细的日志分析，最终定位并解决了这一技术难题。