hadolint

linter dockerfile أكثر ذكاءً يساعدك على بناء صور Docker أفضل الممارسات. يقوم The Linter بتخزين Dockerfile في AST ويقوم بإجراء قواعد أعلى AST. إنه يقف على أكتاف Shellcheck للترتب إلى رمز Bash داخل تعليمات RUN .

تحقق من الإصدار عبر الإنترنت على hadolint.github.io/hadolint

• كيفية استخدام
• ثَبَّتَ
• CLI
• تكوين
• قذائف غير بوسكس
• تجاهل القواعد
  • يتجاهل مضمّن
  • يتجاهل العالم
• ملصقات linting
  • ملاحظة حول التعامل مع المتغيرات في الملصقات
• التكامل
• قواعد
• يطور
  • يثبت
  • استبدال
  • الاختبارات
  • AST
  • بناء ضد المكتبات المخصصة
• بدائل

يمكنك تشغيل hadolint محليًا لتربط Dockerfile.

hadolint < Dockerfile >
hadolint --ignore DL3003 --ignore DL3006 < Dockerfile > # exclude specific rules
hadolint --trusted-registry my-company.com:500 < Dockerfile > # Warn when using untrusted FROM images

يأتي Docker إلى الإنقاذ ، مما يوفر طريقة سهلة كيفية تشغيل hadolint على معظم المنصات. ما عليك سوى أنبوب Dockerfile إلى docker run :

docker run --rm -i hadolint/hadolint < Dockerfile
# OR
docker run --rm -i ghcr.io/hadolint/hadolint < Dockerfile

أو باستخدام Podman:

podman run --rm -i docker.io/hadolint/hadolint < Dockerfile
# OR
podman run --rm -i ghcr.io/hadolint/hadolint < Dockerfile

أو استخدام Windows PowerShell:

cat .Dockerfile | docker run -- rm - i hadolint / hadolint

يمكنك تنزيل الثنائيات المسبقة لـ OSX و Windows و Linux من أحدث صفحة إصدار. ومع ذلك ، إذا لم ينجح هذا من أجلك ، فالرجاء العودة إلى الحاوية (Docker) أو تثبيت brew أو المصدر.

على OSX ، يمكنك استخدام Brew لتثبيت hadolint .

brew install hadolint

على Windows ، يمكنك استخدام Scoop لتثبيت hadolint .

scoop install hadolint

على التوزيعات التي تم تثبيتها nix ، يمكنك استخدام حزمة hadolint لتشغيل الأصداف المخصصة أو تثبيت hadolint بشكل دائم في بيئتك.

كما ذكرنا سابقًا ، تتوفر hadolint كصورة حاوية:

docker pull hadolint/hadolint
# OR
docker pull ghcr.io/hadolint/hadolint

إذا كنت بحاجة إلى حاوية مع وصول شل ، فاستخدم متغيرات Debian أو Alpine:

docker pull hadolint/hadolint:latest-debian
# OR
docker pull hadolint/hadolint:latest-alpine
# OR
docker pull ghcr.io/hadolint/hadolint:latest-debian
# OR
docker pull ghcr.io/hadolint/hadolint:latest-alpine

يمكنك أيضا بناء hadolint محليا. أنت بحاجة إلى Haskell وأداة بناء cabal لبناء الثنائي.

git clone https://github.com/hadolint/hadolint 
  && cd hadolint 
  && cabal configure 
  && cabal build 
  && cabal install

إذا كنت تريد استخدام Extension VS Code HadoLint في حاوية ، فيمكنك استخدام البرنامج النصي المربع التالي:

 #! /bin/bash
dockerfile= " $1 "
shift
docker run --rm -i hadolint/hadolint hadolint " $@ " - < " $dockerfile " 

hadolint --help

 hadolint - Dockerfile Linter written in Haskell

Usage: hadolint [-v|--version] [-c|--config FILENAME] [DOCKERFILE...]
                [--file-path-in-report FILEPATHINREPORT] [--no-fail]
                [--no-color] [-V|--verbose] [-f|--format ARG] [--error RULECODE]
                [--warning RULECODE] [--info RULECODE] [--style RULECODE]
                [--ignore RULECODE]
                [--trusted-registry REGISTRY (e.g. docker.io)]
                [--require-label LABELSCHEMA (e.g. maintainer:text)]
                [--strict-labels] [--disable-ignore-pragma]
                [-t|--failure-threshold THRESHOLD]
  Lint Dockerfile for errors and best practices

Available options:
  -h,--help                Show this help text
  -v,--version             Show version
  -c,--config FILENAME     Path to the configuration file
  --file-path-in-report FILEPATHINREPORT
                           The file path referenced in the generated report.
                           This only applies for the 'checkstyle' format and is
                           useful when running Hadolint with Docker to set the
                           correct file path.
  --no-fail                Don't exit with a failure status code when any rule
                           is violated
  --no-color               Don't colorize output
  -V,--verbose             Enables verbose logging of hadolint's output to
                           stderr
  -f,--format ARG          The output format for the results [tty | json |
                           checkstyle | codeclimate | gitlab_codeclimate | gnu |
                           codacy | sonarqube | sarif] (default: tty)
  --error RULECODE         Make the rule `RULECODE` have the level `error`
  --warning RULECODE       Make the rule `RULECODE` have the level `warning`
  --info RULECODE          Make the rule `RULECODE` have the level `info`
  --style RULECODE         Make the rule `RULECODE` have the level `style`
  --ignore RULECODE        A rule to ignore. If present, the ignore list in the
                           config file is ignored
  --trusted-registry REGISTRY (e.g. docker.io)
                           A docker registry to allow to appear in FROM
                           instructions
  --require-label LABELSCHEMA (e.g. maintainer:text)
                           The option --require-label=label:format makes
                           Hadolint check that the label `label` conforms to
                           format requirement `format`
  --strict-labels          Do not permit labels other than specified in
                           `label-schema`
  --disable-ignore-pragma  Disable inline ignore pragmas `# hadolint
                           ignore=DLxxxx`
  -t,--failure-threshold THRESHOLD
                           Exit with failure code only when rules with a
                           severity equal to or above THRESHOLD are violated.
                           Accepted values: [error | warning | info | style |
                           ignore | none] (default: info)

يمكن استخدام ملفات التكوين على مستوى العالم أو لكل مشروع. يبحث HadoLint عن ملفات التكوين في المواقع التالية أو معادلات محددة من النظام الأساسي في هذا الترتيب وتستخدم أول واحد حصريًا:

• $PWD/.hadolint.yaml
• $XDG_CONFIG_HOME/hadolint.yaml
• $HOME/.config/hadolint.yaml
• $HOME/.hadolint/hadolint.yaml or $HOME/hadolint/config.yaml
• $HOME/.hadolint.yaml

في Windows ، يتم استخدام متغير البيئة %LOCALAPPDATA% بدلاً من XDG_CONFIG_HOME . يمكن أن تحتوي ملفات التكوين إما على امتدادات yaml أو yml .

مخطط ملف تكوين yaml الكامل hadolint

 failure-threshold : string               # name of threshold level (error | warning | info | style | ignore | none)
format : string                          # Output format (tty | json | checkstyle | codeclimate | gitlab_codeclimate | gnu | codacy)
ignored : [string]                       # list of rules
label-schema :                           # See Linting Labels below for specific label-schema details
  author : string                        # Your name
  contact : string                       # email address
  created : timestamp                    # rfc3339 datetime
  version : string                       # semver
  documentation : string                 # url
  git-revision : string                  # hash
  license : string                       # spdx
no-color : boolean                       # true | false
no-fail : boolean                        # true | false
override :
  error : [string]                       # list of rules
  warning : [string]                     # list of rules
  info : [string]                        # list of rules
  style : [string]                       # list of rules
strict-labels : boolean                  # true | false
disable-ignore-pragma : boolean          # true | false
trustedRegistries : string | [string]    # registry or list of registries

يدعم hadolint تحديد القواعد التي تم تجاهلها باستخدام ملف التكوين. يجب أن يكون ملف التكوين بتنسيق yaml . هذا ملف تكوين واحد صالح كمثال:

 ignored :
  - DL3000
  - SC1010

بالإضافة إلى ذلك ، يمكن hadolint أن تحذرك عندما يتم استخدام صور من مستودعات غير موثوق بها في DockerFiles ، يمكنك إلحاق مفاتيح trustedRegistries على ملف التكوين ، كما هو موضح أدناه:

 ignored :
  - DL3000
  - SC1010

trustedRegistries :
  - docker.io
  - my-company.com:5000
  - " *.gcr.io "

إذا كنت ترغب في تجاوز شدة قواعد محددة ، فيمكنك القيام بذلك أيضًا:

 override :
  error :
    - DL3001
    - DL3002
  warning :
    - DL3042
    - DL3033
  info :
    - DL3032
  style :
    - DL3015

خروج failure-threshold مع رمز الفشل فقط عندما يتم انتهاك قواعد ذات شدة أعلى من العتبة (متوفرة في v2.6.0+)

 failure-threshold : info
override :
  warning :
    - DL3042
    - DL3033
  info :
    - DL3032

بالإضافة إلى ذلك ، يمكنك تمرير ملف تكوين مخصص في سطر الأوامر مع خيار --config

hadolint --config /path/to/config.yaml Dockerfile

لتمرير ملف تكوين مخصص (باستخدام المسار النسبي أو المطلق) إلى حاوية ، استخدم الأمر التالي:

docker run --rm -i -v /your/path/to/hadolint.yaml:/.config/hadolint.yaml hadolint/hadolint < Dockerfile
# OR
docker run --rm -i -v /your/path/to/hadolint.yaml:/.config/hadolint.yaml ghcr.io/hadolint/hadolint < Dockerfile

بالإضافة إلى ملفات التكوين ، يمكن تكوين HadoLint مع متغيرات البيئة.

NO_COLOR=1                               # Set or unset. See https://no-color.org
HADOLINT_NOFAIL=1                        # Truthy value e.g. 1, true or yes
HADOLINT_VERBOSE=1                       # Truthy value e.g. 1, true or yes
HADOLINT_FORMAT=json                     # Output format (tty | json | checkstyle | codeclimate | gitlab_codeclimate | gnu | codacy | sarif )
HADOLINT_FAILURE_THRESHOLD=info          # threshold level (error | warning | info | style | ignore | none)
HADOLINT_OVERRIDE_ERROR=DL3010,DL3020    # comma separated list of rule codes
HADOLINT_OVERRIDE_WARNING=DL3010,DL3020  # comma separated list of rule codes
HADOLINT_OVERRIDE_INFO=DL3010,DL3020     # comma separated list of rule codes
HADOLINT_OVERRIDE_STYLE=DL3010,DL3020    # comma separated list of rule codes
HADOLINT_IGNORE=DL3010,DL3020            # comma separated list of rule codes
HADOLINT_STRICT_LABELS=1                 # Truthy value e.g. 1, true or yes
HADOLINT_DISABLE_IGNORE_PRAGMA=1         # Truthy value e.g. 1, true or yes
HADOLINT_TRUSTED_REGISTRIES=docker.io    # comma separated list of registry urls
HADOLINT_REQUIRE_LABELS=maintainer:text  # comma separated list of label schema items 

عند استخدام الصور الأساسية مع قذائف غير POSIX كإعداد افتراضي (على سبيل المثال الصور المستندة إلى Windows) ، يمكن لـ Pragma hadolint shell تحديد ما تستخدمه الصورة الأساسية ، بحيث يمكن لـ Hadolint تلقائيًا تجاهل جميع القواعد الخاصة بالقذيفة.

 FROM mcr.microsoft.com/windows/servercore:ltsc2022
# hadolint shell=powershell
RUN Get-Process notepad | Stop-Process

من الممكن أيضًا تجاهل القواعد عن طريق إضافة تعليق خاص مباشرة فوق بيان Dockerfile الذي تريد استثناء من أجله. تبدو هذه التعليقات وكأن # hadolint ignore=DL3001,SC1081 . على سبيل المثال:

 # hadolint ignore=DL3006
FROM ubuntu

# hadolint ignore=DL3003,SC1035
RUN cd /tmp && echo "hello!"

ينطبق التعليق "المتجاهل" فقط على البيان الذي يتبعه.

يمكن أيضًا تجاهل القواعد على أساس لكل ملف باستخدام Pragma العالمي. إنه يعمل تمامًا كما يتجاهل Inline ، إلا أنه ينطبق على الملف بأكمله بدلاً من السطر التالي فقط.

 # hadolint global ignore=DL3003,DL3006,SC1035
FROM ubuntu

RUN cd /tmp && echo "foo" 

HadoLint قادر على التحقق مما إذا كانت ملصقات محددة موجودة وتوافق مع مخطط الملصقات المحددة مسبقًا. أولاً ، يجب تعريف مخطط التسمية إما عبر سطر الأوامر:

hadolint --require-label author:text --require-label version:semver Dockerfile

أو عبر ملف التكوين:

 label-schema :
  author : text
  contact : email
  created : rfc3339
  version : semver
  documentation : url
  git-revision : hash
  license : spdx

يمكن أن تكون قيمة الملصق إما من text أو url أو semver أو hash أو rfc3339 :

بشكل افتراضي ، يتجاهل HadoLint أي تسمية غير محددة في مخطط الملصقات. للتحذير من مثل هذه الملصقات الإضافية ، قم بتشغيل ملصقات صارمة ، باستخدام سطر الأوامر:

hadolint --strict-labels --require-label version:semver Dockerfile

أو ملف التكوين:

 strict-labels : true

عندما يتم تمكين الملصقات الصارمة ، ولكن لا يتم تحديد مخطط الملصقات ، سيحذر hadolint في حالة وجود أي علامة.

إنه نمط شائع أن تملأ قيمة الملصق ليس بشكل ثابت ، بل بشكل ديناميكي في وقت البناء باستخدام متغير:

 FROM debian:buster
ARG VERSION= "du-jour"
LABEL version= "${VERSION}"

للسماح بذلك ، يجب أن يحدد مخطط التسمية text كقيمة لتلك التسمية:

 label-schema :
  version : text 

للحصول على معظم hadolint ، من المفيد دمجه كتسجيل في CI الخاص بك أو في المحرر الخاص بك ، أو كخطاف مسبقًا ، لتربط Dockerfile أثناء كتابتك. انظر مستندات التكامل لدينا.

• تكامل منصة مراجعة الكود
• تكامل مستمر
• تكامل المحرر
• تكاملات التحكم في الإصدار

قائمة غير مكتملة من القواعد المنفذة. انقر على رمز الخطأ للحصول على معلومات أكثر تفصيلاً.

• القواعد مع البادئة DL هي من hadolint . إلقاء نظرة على Rules.hs للعثور على تنفيذ القواعد.

• القواعد التي تحتوي على بادئة SC هي من Shellcheck (يتم سرد القواعد الأكثر شيوعًا فقط ، وهناك العشرات أكثر).

يرجى إنشاء مشكلة إذا كان لديك فكرة عن قاعدة جيدة.

إذا كنت من ذوي الخبرة ، فسنكون ممتنين للغاية إذا كنت ستمزيق الكود لدينا في مراجعة.

للتجميع ، ستحتاج إلى بيئة هاسكل الأخيرة cabal-install .

1. مستودع استنساخ

   git clone --recursive [email protected]:hadolint/hadolint.git

2. تثبيت التبعيات وتجميع مصدر

   cabal configure
   cabal build

3. (اختياري) تثبيت HadoLint على نظامك

   cabal install

أسهل طريقة لتجربة المحلل هي استخدام REPL.

 # start the repl
cabal repl
# overload strings to be able to use Text
:set -XOverloadedStrings
# import parser library
import Language.Docker
# parse instruction and look at AST representation
parseText " FROM debian:jessie "

تجميع مع اختبارات الوحدة وتشغيلها:

cabal configure --enable-tests
cabal build --enable-tests
cabal test

تشغيل اختبارات التكامل:

./integration_test.sh

تم وصف بناء جملة Dockerfile بالكامل في مرجع Dockerfile. ما عليك سوى إلقاء نظرة على Syntax.hs في مشروع language-docker لمشاهدة تعريف AST.

يستخدم Hadolint العديد من المكتبات للقيام بالعمل القذر. على وجه الخصوص ، يتم استخدام Docker Language لتحليل Dockerfiles وإنتاج AST الذي يمكن تحليله بعد ذلك. لبناء HadoLint مقابل إصدار مخصص من هذه المكتبات ، قم بما يلي. يستخدم هذا المثال Docker Language ، لكنه سيعمل مع أي مكتبة أخرى أيضًا.

1. في نفس الدليل (على سبيل المثال /home/user/repos ) استنساخ HadoLint ومستودعات GIT Docker Language

 cd /home/user/repos
git clone https://github.com/hadolint/hadolint.git
git clone https://github.com/hadolint/language-docker.git

2. اجعل تعديلاتك على Docker Language

3. في برنامج HadoLint Repo ، قم بتحرير ملف cabal.project ، بحيث تشير خاصية packages إلى الريبو الآخر أيضًا

 [...]
packages :
  .
  ../language-docker
[...]

4. إعادة ترجمة HadoLint وتشغيل الاختبارات

 cd /home/user/repos/hadolint
cabal configure --enable-tests
cabal build --enable-tests
cabal test 

• REPLICEREDHQ/DOCKERFILELINT ، والآخر يستخدم بواسطة Super-Linter

• redcoolbeans/dockerlint

• ProjectAtomic/dockerfile_lint