dockerfile扫描工具dockerfile_lint试用

dockerfile扫描工具现状

docker镜像一般都是根据dockerfile构建而来,一个dockerfile书写的好坏直接决定了docker镜像本身的质量。 所以有必要对dockerfile进行规则扫描,剔除其中不符合最佳实践的一些写法。

截止到2019年12月底,社区比较出色的dockerfile扫描工具有: hadolint、dockerlint和红帽推出的dockerfile_lint。 总体上来说这三个工具其实都不完善,基本上处于alpha之前的状态。

  • hadolint是目前为止成熟最高的一个工具,一共支持60多条的自带规则。 而且hadolint还支持对Run命令中带的shell命令进行审计。 这一点功能是目前其他竞品不具备的。 不过hadolint使用Haskell语言编写,且目前不支持规则文件导入。

    如果有新的规则需要编程实现。

  • dockerlint 使用coffee_script语言编写,自带规则数量小于hadolint; 也不支持规则文件导入功能。

  • dockerfile_lint 红帽发布,使用node.js编写的一个dockerfile扫描工具。 支持的规则数量小于hadolint,但是支持通过yaml文件方式导入用户自定义规则。

从以上分析来看,我认为dockerfile_lint其实更具潜力,因为dockerfile扫描规则其实是不固定的。 每个用户都可以有自己的dockerfile扫描规范,所以通过脚本添加规则其实是一种刚需。  hadolint和dockerlint恰恰不具备这个能力,所以我最终选择了dockerfile_lint作为扫描工具。

dockerfile_lint工具的使用

dockerfile_lint代码在github.com/projectatomic/dockerfile_lint下,有两种方法执行dockerfile_lint:

  • 从dockerhub官方下载dockerfile_lint latest的docker镜像。

  • 在nodejs执行环境上,运行dockerfile_lint扫描工具。

因为nodejs执行环境本人没有搭建经验,所以直接选择最简单的方式从dockerhub官方下载dockerfile_lint镜像。 下面基于docker镜像方式介绍dockerfile_lint功能。

docker run -it --privileged -v target_dockerfile_dir:/target/ projectatomic/dockerfile-lint:latest /bin/bash

[root@4298ab08644f /]#dockerfile_lint -f /target/Dockerfile -v

dockerfile_lint 支持下面参数

-h 打印help信息

-j 结果以jason格式输出

-r rulefile 指定一个规则文件。

-v 打印debug新秀

-f 指定dockerfile的路径

-e 打印出目前的规则

dockerfile_lint 规则

目前为止dockerfile_lint默认情况下带了default_rules.yaml和base_rules.yaml。 如果不指定任何rulefile,那么系统默认采用这两个规则文件,在docker镜像的/opt/dockerfile_lint/config/目录下。 此外在/opt/dockerfile_lint/sample_rules下面还带了很多事例rule。 可以直接在容器内部修改default_rules.yaml和base_rules.yaml文件,然后再运行dockerfile_lint。

可以看到dockerfile_lint的规则基本上都是基于正则匹配的,所以用户可以很方便的扩展新的规则。

需要注意的是dockerfile_lint语法中required_instruction域中的count字段在19年12月截止的版本中是无效的。

作者: marshalzxy

原文链接: https://www.jianshu.com/p/e7cf255cdd3e

END

Kubernetes  CKA线下班

我来评几句
登录后评论

已发表评论数()

相关站点

+订阅
热门文章