Hadolint:Lint Dockerfile 的完整指南

news2024/11/6 9:57:08

想学习如何使用 Hadolint 对 Dockerfile 进行 lint 处理吗?这篇博文将向您展示如何操作。这是关于 Dockerfile linting 的完整指南。

通过对 Dockerfile 进行 lint 检查,您可以及早发现错误和问题,并确保它们遵循最佳实践。

什么是Hadolint?

Hadolint 是一个使用 Haskell 构建的开源命令行 Dockerfile linter 工具,可帮助您编写无错误的 Dockersfile。Hadolint 会检查您的 Dockerfile 是否存在可能的错误、安全漏洞和性能问题。它在 GitHub 上有超过 9k 的启动

这是它的工作原理。

  1. Hadolint 读取 Dockerfile
  2. 它将 Dockerfile 解析为 AST(抽象语法树),以标识与其关联的每个指令和参数。
  3. 然后,它根据预定义的规则集检查每条指令,这些规则涵盖安全性、效率和代码质量。这些规则是 Hadolint 源代码的一部分。您可以在此处查看规则列表。
  4. Hadolint 会标记所有违反规则的行为,并会针对所有检测到的问题创建反馈。

问题的严重性分类如下:

  1. Info– 您将获得有关信息改进的建议。它被认为不太严重。
  2. Style – 与 Dockerfile 的格式或结构相关,例如使用缩进或使用长单行等。
  3. Warning – 不太严重的问题和需要改进的次要安全问题。
  4. Error– 这些问题很严重,可能与安全漏洞或重大最佳实践违规有关。

现在我们已经对 Hadolint 有了基本的了解,让我们继续安装并查看它的实际效果。

安装 Hadolint

您可以在 Linux、Mac 和 Windows 系统上安装 Hadolint。

在 Linux 中安装

如果要在Linux系统中安装Hadolint,请按照以下步骤操作。

步骤1:从 Hadolint Github 发布页面下载最新的 Linux Hadolint 包。

wget -O hadolint https://github.com/hadolint/hadolint/releases/download/v2.12.0/hadolint-Linux-x86_64

步骤2: 下载应用程序后,将其移动到 /usr/local/bin 目录。

sudo mv hadolint /usr/local/bin/hadolint

第 3 步:使用下面给出的命令向 Hadolint 授予执行权限。

sudo chmod +x /usr/local/bin/hadolint

在 Mac 中安装

您可以使用下面给出的命令在 Mac 系统上安装 Hadolint。

brew install hadolint

要检查 Linux 或 Mac 系统上是否安装了 Hadolint,请运行以下命令:

hadolint --version

在 Windows 中安装

使用 scoop 在 Windows 上安装 Hadolint

scoop install hadolint

安装 hadolint 后,您将拥有 hadolint CLI 来对 Dockerfile 运行 lint 测试。

要了解所有 CLI 选项,可以使用 –help 标志。

hadolint --help

使用 Hadolint 的 lint Dockerfile

要使用 Hadolint,只需将其安装在您的系统上并使用 Dockerfile 运行该命令。Hadolint 将提供它在 Dockerfile 中发现的错误列表作为输出,以及严重性级别和该问题的原因。

为了获得实际的理解,我们将使用未优化的 Dockerfile。

将以下内容另存为 Dockerfile

FROM ubuntu:latest
RUN apt-get update
RUN apt-get install -y curl
RUN apt-get update && apt-get install -y curl
RUN echo "hello world" | grep "world" | wc -l
CMD ["echo", "Hello, world!"]

让我们针对上面的 Dockerfile 运行 Hadolint。确保 Dockerfile 位于运行 hadolint 命令的同一目录中。

hadolint Dockerfile

您将收到以下输出,其中包含“警告”和信息”消息,其中包含规则编号和修正信息,如下图所示。

如果您检查编号 7,Hadolint 也会提供有关 shell 脚本的信息。Hadolint 在后台使用 Shellcheck 对属于 RUN 指令一部分的 shell 脚本进行 lint 处理。

现在,如果您检查退出代码,您将获得一个非零返回。

hadolint-examples git:(main) ✗ echo $?                      
1
➜  hadolint-examples git:(main) ✗

如果实现所有建议,将获得以下 Dockerfile。

# Use Ubuntu 20.04 as the base image
FROM ubuntu:20.04

# Set the default shell with -o pipefail
SHELL ["/bin/bash", "-o", "pipefail", "-c"]

# Run commands
RUN apt-get update && \
    apt-get install -y curl=8.4.0 --no-install-recommends && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/* && \
    echo "hello world" | grep -c "world"

# Default command to run
CMD ["echo", "Hello, world!"]

现在,如果对修正和更新的 Dockerfile 运行 Hadolint,则不会收到任何警告或信息消息。如果您检查返回值,您将获得如下图所示。0

忽略规则

在某些情况下,你可能不希望修正所有建议。在这种情况下,您可以使用 --ignore 标志忽略特定规则。

例如,如果我想忽略建议指定软件包版本的 DL3008,可以使用以下命令。

hadolint --ignore DL3008 Dockerfile

在使用 CI/CD 系统时,我们需要标准化衬里的所有配置和规则。这是配置文件hadolint.yaml的用武之地。

hadolint.yaml

handolint.yaml 是 Hadolint 的配置文件。您可以使用配置文件自定义 Hadolint 处理输出和建议的方式。

当您希望对跨组织或项目进行 linting Dockerfile 的标准化和自定义时,这特别有用。此模板可以与开发 Dockerfile 的开发人员或 DevOps 工程师共享。

您可以参考官方文档了解所有支持的参数。

让我们来看看关键参数。

  1. failure-threshold:指定 lint 应失败的级别或提供非零fanhuizhi。例如,默认情况下,Hadolinit 为所有级别提供非零退出代码。使用此参数,您可以为错误和警告配置非零退出代码。对于非零退出代码,将忽略 Info 和 style。
  2. ignored:如果要忽略特定规则,可以在 ignore 参数下列出它们。
  3. override:如果要覆盖特定规则的严重性,则此参数特别有用。例如,DL3015 规则位于 info 下。但是,您希望将其归类为警告。因此,您可以将 DL3015 添加到覆盖下的警告类别下。对于使用此配置的所有 Hadolint 运行,DL3015 将列为警告。
  4. trustedRegistries:在大多数组织中,只允许使用内部容器注册表。如果只想允许来自特定容器注册表的映像,可以在这些参数下添加这些注册表终结点。如果 Dockerfile 包含来自其他注册表的映像,则 lint 将失败。

下面是包含所有关键参数的示例配置。将以下配置另存为 .hadolint.yaml

failure-threshold: warning
format: tty
ignored:
- DL3007
override:
  error:
  - DL3015
  warning:
  - DL3015
  info:
  - DL3008
  style:
  - DL3015
trustedRegistries:
- docker.io
- techiescamp.com:5000
- "*.gcr.io"
- quay.io

您可以将配置文件与 Hadolint 一起使用,如下所示

hadolint --config .hadolint.yaml Dockerfile

在 Docker 镜像构建中使用 Hadolint

作为标准做法,开发人员可以在创建 Dockerfile 时运行 Hadolint,然后再将其推送到存储库。但是,Hadolint 的主要用途在于 Docker 映像构建管道。

可以使用 Hadolint 添加 Dockerfile 链接,作为 Docker 生成 CI 管道的一部分。当为创建/更新 Dockerfile 引发 PR 时,管道中的第一步将是 linting。

如果 Dockerfile 不遵守 Hadolint 规则,则生成将失败,开发人员可以使用 Hadolint 反馈来纠正 Dockerfile 的问题。

您可以根据组织的标准和项目要求使用该文件自定义规则和配置。hadolint.yaml

这样,您可以捕获 Dockerfile 中的所有错误,并确保它在提交到主分支之前遵循标准最佳实践。

使用 Docker 运行 Hadolint

有一种方法可以在不在您的系统中安装 Hadolint 的情况下使用它,我们可以将 Docker 镜像用于 Hadolint。下面给出了使用 Hadolint Docker 映像的命令。

docker run --rm -i hadolint/hadolint < Dockerfile

使用此命令的最佳部分是,如果系统中没有Hadolint Docker映像,它将首先下载Docker映像,然后扫描Dockerfile。

Hadolint 在线版

有一个 Hadolint 的在线版本,您可以在其中从浏览器中对 Dockerfile 进行 lint 检查。这对于快速测试很有用。

您可以在此处访问在线版本。

使用 Hadolint 的好处

根据这篇关于 Dockerfile 的 IEEE 研究论文,其数据集中近 84% 的 GitHub 项目在其 Dockerfile 代码中都有气味,尤其是 DL 气味。

使用 Hadolint 有很多好处,下面列出了一些好处:

  1. 改进了 Dockerfile 质量:Hadolint 识别 Dockerfile 中的错误,从而改进和优化 Dockerfile
  2. 降低安全风险:Hadolint 可以识别 Dockerfile 中的安全漏洞,例如使用旧的基础映像,并帮助减少攻击面。
  3. 提高性能:Hadolint 可以在 Dockerfile 中发现降低 Docker 映像性能的问题,例如构建不必要的大型映像。
  4. 提高一致性:Hadolint 确保您的 Dockerfile 与最佳实践一致,从而使它们符合您组织的策略。

使用Hadolint的提示

以下是使用 Hadolint 的一些提示:

  1. 首先修复最严重的错误:Hadolint 将为其发现的每个错误分配一个严重性级别。首先,修复最严重的错误,因为这些错误最有可能导致问题。
  2. 启用所有规则:Hadolint 附带了一组默认启用的默认规则。但是,还可以启用许多可选规则。考虑启用所有规则以使 Hadolint 高效工作。您可以根据排除要求再次自定义这些规则。
  3. 根据需要配置 Hadolint:您还可以修改启用的规则和不同冲突的严重性级别,还可以指定输出格式。

结论

在开发过程中,Linting Dockerfile 是一种很好的做法,就像在 Infra 管道中一样。我强烈建议您将 Hadolint 添加为 Docker 映像构建管道的一部分,以获得安全和优化的容器映像。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1362683.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

windows 查看所有端口占用情况

winR&#xff0c;调出cmd窗口&#xff1a; 输入命令 netstat -ano 内容太多&#xff0c;显示不全&#xff0c;怎么办? 输入下面命令 netstat -ano > d:\1.log 在d盘根目录下就产生了 输出文件 打开可以看到如下内容 活动连接协议 本地地址 外部地址 状…

2.3_7 生产者-消费者问题

2.3_7 生产者-消费者问题 系统中有一组生产者进程和一组消费者进程,生产者进程每次生产一个产品放入缓冲区,消费者进程每次从缓冲区中取出一个产品并使用。(注:这里的“产品”理解为某种数据) 生产者、消费者共享一个初始为空、大小为n的缓冲区。 只有缓冲区没满时,生产者才…

Kotlin协程学习之-01

由于协程需要支持挂起、恢复、因此对于挂起点的状态保存就显得机器关键。类似的&#xff0c;线程会因为CPU调度权的切换而被中断&#xff0c;它的中断状态会保存在调用栈当中&#xff0c;因而协程的实现也按照是否开辟相应的调用栈存在以下两种类型&#xff1a; 有栈协程&…

weak_ptr如何能做到解决循环引用又能传递参数呢?

引子&#xff1a;今天在看CLR via C#的时候看到C#的垃圾回收算法--引用跟踪算法的时候想到以下几个问题。 一、引用计数法存在的问题 一般引用计数法存在的问题就是不好处理循环引用的问题&#xff0c;但是C不是有weak_ptr吗&#xff1f; 这个引用跟踪的垃圾回收算法看起来还…

vivado xsim 终端 模拟

只模拟的话直接终端运行会快很多 计数器举例 mkdir srccounter.v module counter(input wire clk,input wire rst_n,output reg[31:0] cnt ); always (posedge clk or negedge rst_n)if(!rst_n)cnt < 31h0;elsecnt < cnt1;endmodule tb.v module tb; wire[31:0] out…

C语言编译器(C语言编程软件)完全攻略

介绍常用C语言编译器的安装、配置和使用。 常用的C语言编译器&#xff08;编程软件&#xff09;介绍&#xff0c;同时附带下载地址、详细的安装教程和使用教程。我们还对比了不同C语言编译器&#xff08;C语言编程软件&#xff09;的优缺点&#xff0c;让初学者知道该如何选择…

WPF 使用矢量字体图标

矢量字体图标 在WPF项目中经常需要显示图标&#xff0c;但是项目改动后&#xff0c;有时候需要替换和修改图标&#xff0c;这样非常麻烦且消耗开发和美工的时间。为了快速开发项目&#xff0c;节省项目时间&#xff0c;使用图标矢量字体图标是一个非常不错的选择。 矢量字体图标…

Java Swing手搓童年坦克大战游戏(I)

前言 业余偶尔对游戏有些兴趣&#xff0c;不过这样的时代&#xff0c;硬件软件飞速进步&#xff0c;2D游戏画面都无比精美&#xff0c;之前的8bit像素游戏时代早就过去了&#xff0c;不过那时候有许多让人印象深刻的游戏比如魂斗罗、超级玛丽、坦克大战(Battle City)等等。 学…

案例102:基于微信小程序的旅游社交管理系统设计与实现

文末获取源码 开发语言&#xff1a;Java 框架&#xff1a;SSM JDK版本&#xff1a;JDK1.8 数据库&#xff1a;mysql 5.7 开发软件&#xff1a;eclipse/myeclipse/idea Maven包&#xff1a;Maven3.5.4 小程序框架&#xff1a;uniapp 小程序开发软件&#xff1a;HBuilder X 小程序…

Robot Operating System 2: Design, Architecture, and Uses In The Wild

Robot Operating System 2: Design, Architecture, and Uses In The Wild (机器人操作系统 2&#xff1a;设计、架构和实际应用) 摘要&#xff1a;随着机器人在广泛的商业用例中的部署&#xff0c;机器人革命的下一章正在顺利进行。即使在无数的应用程序和环境中&#xff0c;也…

C语言基础知识(5):TCP网络编程

TCP 是面向连接的、可靠的流协议。流就是指不间断的数据结构&#xff0c;当应用程序采用 TCP 发送消息时&#xff0c;虽然可以保证发送的顺序&#xff0c;但还是犹如没有任何间隔的数据流发送给接收端。TCP 为提供可靠性传输&#xff0c;实行“顺序控制”或“重发控制”机制。此…

学习笔记——C++中的循环结构 while语句

while循环语句 作用&#xff1a;满足循环条件&#xff0c;执行循环语句 语法&#xff1a;while&#xff08;循环条件&#xff09;{循环语句} 解释&#xff1a;只要循环条件的结果为真&#xff0c;就执行循环语句 以打印0-9这十个数字为例&#xff0c;特别需要注意的是&…

MySQL之视图索引执行计划

目录 一.视图 二.执行计划 2.1.什么是执行计划 2.2.执行计划的作用 三.使用外连接、内连接和子查询进行举例 四.思维导图 好啦今天就到这里了哦&#xff01;&#xff01;&#xff01;希望能帮到你哦&#xff01;&#xff01;&#xff01; 一.视图 含义 &#xff1a;在数…

Nginx快速入门:Nginx实现高可用|结合keepalived实现主备节点(九)

0. 引言 在生产中我们要尽可能避免单点故障&#xff0c;nginx也不例外&#xff0c;因此搭建主备节点必不可少&#xff0c;今天我们来学习下如何利用keepalived实现主备 1. keepalived简介 keepalived 是一个LINUX系统中开源的负载均衡和故障转移软件&#xff0c;它主要用于高…

解决 POST http://x.x.x.x:8000/aaa/ net::ERR_CONNECTION_TIMED_OUT

记录一下我遇到的问题和解决办法 我的项目前后端分离&#xff0c;在前端用的vue访问后端时连接不上后端&#xff0c;一切操作都触发不了后端&#xff0c;数据也传不到后端去&#xff1b; 原因&#xff1a;url有问题&#xff0c;url地址写的不是本机&#xff0c;所以导致连接超…

Nginx快速入门:worker、master进程的作用和热部署原理(十)

0. 引言 我们通过查询nginx进程&#xff0c;可以发现nginx有两个进程&#xff1a;worker和master。一个程序启动了两个进程&#xff0c;那么这两个进程的作用和区别是什么呢&#xff1f;nginx又是如何利用这两个进程进行工作的呢&#xff1f;nginx不停机热部署又是如何实现的&…

如何使用UUP从windows更新服务器下载windows10原版镜像

UUP是指Windows 10中的一种更新技术&#xff0c;全称为Unified Update Platform。UUP的目标是提供更快、更高效的更新体验&#xff0c;它通过增量更新的方式来更新操作系统&#xff0c;只下载和安装实际变化的部分&#xff0c;而不是整个更新包。这样可以节省带宽和时间&#x…

LLM漫谈(二)| QAnything支持任意格式文件或数据库的本地知识库问答系统

一、QAnything介绍 QAnything (Question and Answer based on Anything) 是致力于支持任意格式文件或数据库的本地知识库问答系统&#xff0c;可断网安装使用。 您的任何格式的本地文件都可以往里扔&#xff0c;即可获得准确、快速、靠谱的问答体验。 目前已支持格式: PDF&…

Mac Parallels19.1.0 Install CentOS7.9

0、资源准备 # centos7.9镜像一份 链接: https://pan.baidu.com/s/1acIjUnsTGhk_2cYCZLSoGg?pwd6666 提取码: 6666 --来自百度网盘超级会员v7的分享1、打开PD 2、选择镜像进行安装 指定镜像名称 创建 进行密码设置 安装目的地点开后直接点击完成 网络和主机名称 开…

SonarQube 漏洞扫描

SonarQube 漏洞扫描 一、部署服务 1.1 docker方式部署 #安装docker curl -L download.beyourself.org.cn/shell-project/os/get-docker-latest.sh | sh yum install -y docker-compose #进去输入:set paste可以保证不穿行 [rootlocalhost sonar]# vim docker-compose.yml v…