那些遇到过的问题

Dockerfiles的静态代码分析?

Ali*_*lix 5 static-analysis sonarqube dockerfile

我想知道是否有任何工具支持分析 Dockerfiles 的内容。当然是语法检查,但也要突出显示对需要更新的旧包的引用。

我正在使用SonarQube对其他代码进行静态代码分析,但如果它不支持它(我找不到它支持的任何信息),是否还有其他工具可以执行此操作?

ank*_*mon 0

虽然这个问题已经有两年了,但是有两种方法可以对 Dockerfile 进行静态分析。

  1. 使用FromLatest
  2. 使用Hadolint

选项#2 是最可取的,因为它可以用作 CICD 管道内的自动化流程。

Hadolint 还提供了使用“.hadolint.yml”排除消息/错误的方法

归档时间:

查看次数:

1068 次

最近记录:

5 年,10 月 前
相关归档
如何在Dockerfile中发表评论? 313
如何查看每个 docker 镜像的 Dockerfile? 36
为清晰起见,是否应使用返回类型的无用类型限定符? 11
将Spock的测试与Sonar集成 8
SonarQube MSBuild集成失败:SonarQube无法收集有关您的项目的必要信息 7
使用本地npm依赖项设置docker nodejs应用程序 7
Sonarqube没有注册任何c#问题 6
Jenkins Sonarqube 插件:JAVA_HOME 存在,但未指向有效的 Java 主目录 6
有没有办法让eclipse报告一般的"catch(Exception e)"作为错误/警告(在java中)? 4
如何使用SonarQube执行基于角色的访问控制? 2
难疑归档
如何在Python中获取当前时间 2618
在jQuery中添加表行 2331
运算符重载的基本规则和习惯用法是什么? 2074
在JavaScript中定义枚举的首选语法是什么? 1982
你什么时候使用git rebase而不是git merge? 1461
如何在Python中通过索引从列表中删除元素? 1381
如何正确强制推送Git? 1206
网格布局上的手势检测 1076
自定义HTTP标头:命名约定 1051
功能编程是否取代了GoF设计模式? 1028