Habilidades container-hadolint
📦

container-hadolint

v0.1.0 Riesgo medio ⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos🔑 Variables de entorno

Auditar Dockerfiles con Hadolint

Los Dockerfiles a menudo ocultan valores predeterminados inseguros, paquetes sin fijar y patrones de compilación débiles. Esta skill guía los análisis de Hadolint, la integración con CI y la remediación práctica para compilaciones de contenedores.

Compatible con: Claude Codex Code(CC)
📊 75 Adecuado
1

Descargar el ZIP de la habilidad

2

Subir en Claude

Ve a Configuración → Capacidades → Habilidades → Subir habilidad

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.

Pruébalo

Usando "container-hadolint". Un Dockerfile usa ubuntu:latest, instala curl sin una versión fijada y se ejecuta como root.

Resultado esperado:

La revisión destaca imágenes base mutables, paquetes sin fijar y controles de privilegio mínimo ausentes. Recomienda una etiqueta base fija, versiones de paquetes fijadas y un usuario no root.

Usando "container-hadolint". Un equipo quiere que GitHub Actions falle cuando los Dockerfiles infrinjan reglas importantes de Hadolint.

Resultado esperado:

La respuesta propone un workflow de Hadolint, explica la opción de carga SARIF y advierte que se deben fijar las versiones de las herramientas o verificar las descargas.

Usando "container-hadolint". Un servicio heredado tiene muchas advertencias de Hadolint y no puede corregir todos los problemas a la vez.

Resultado esperado:

La respuesta sugiere un perfil de migración permisivo, documenta las omisiones temporales aceptadas y define controles más estrictos para imágenes de producción.

Auditoría de seguridad

Riesgo medio
v6 • 6/28/2026

The static analyzer reported many severe patterns, but review shows most are Markdown examples or Hadolint configuration references, not hidden malicious behavior. The skill is safe to publish with a warning because it encourages external command execution and includes an unverified network installer pattern.

8
Archivos escaneados
1,389
Líneas analizadas
6
Review items
4
False positives ignored

Confirmed security concerns (1)

Medio
Unverified Network Download in CI Template
The GitHub Actions template downloads the latest Hadolint binary with wget and makes it executable without checksum verification or immutable version pinning. This is legitimate setup guidance, but it creates supply-chain risk if copied directly into production CI.
The network download is explicit and no checksum or fixed release asset is shown. The context is an installation example, so the risk is supply-chain exposure rather than confirmed malicious behavior.
Needs review findings (1)

These findings came from uncertain legacy audit verdicts, so they require review but are not counted as confirmed security issues.

Medio
Agent May Run External Container Linting Commands
The skill is built around running hadolint, docker, find, jq, and CI shell snippets against repository files. This is expected for the skill, but users should understand that following the instructions can execute local tools and read Dockerfiles in the workspace.
The commands are clearly part of Dockerfile linting workflows and arguments are generally quoted. The risk depends on whether an AI agent executes the examples automatically in an untrusted repository.
Static false positives ignored (4)

These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.

Bajo
Markdown Code Examples Triggered External Command Alerts
Most external command findings occur inside Markdown examples that demonstrate Hadolint usage, CI scripts, or Dockerfile remediation patterns. They are not hidden runtime code bundled with the skill.
The flagged lines are fenced examples and rule documentation. I did not find evidence that the skill ships executable scripts that run these commands automatically.
Bajo
Recursive Delete Alerts Are Dockerfile Cleanup Examples
The recursive deletion findings are examples of removing apt package lists or apk cache inside Dockerfile instructions. They do not delete host root or home directories.
The paths are package-manager cache directories in Dockerfile examples. They are bounded cleanup commands, not broad deletion of / or user home paths.
Bajo
Environment Secret Alerts Are Secure BuildKit Examples
The API key and authorization examples appear in documentation that warns against ARG secrets and recommends Docker BuildKit secret mounts. No evidence found of credential collection or exfiltration by the skill.
The surrounding text is defensive guidance about avoiding secrets in image layers. The external URL is an example endpoint, not a hidden destination used by the skill.
Bajo
Reconnaissance and C2 Keyword Alerts Are Contextual False Positives
Network and system reconnaissance alerts map to security-framework references, trusted registry examples, label schema fields, or ShellCheck rule names. No evidence found of scanning networks or contacting command-and-control infrastructure.
The suspicious tokens appear in normal security documentation and Hadolint configuration. I found no semantic evidence of malicious remote-control behavior.

Patrones detectados

Unpinned External Installer Pattern

Puntuación de calidad

55
Arquitectura
100
Mantenibilidad
87
Contenido
72
Comunidad
59
Seguridad
96
Cumplimiento de la especificación

Lo que puedes crear

Revisión de Dockerfile para desarrolladores

Revisar un Dockerfile antes de abrir una pull request y obtener pasos claros de remediación para hallazgos comunes de Hadolint.

Implementación de políticas en CI

Agregar Hadolint a GitHub Actions o GitLab CI con umbrales que se ajusten a flujos de trabajo de producción y migración.

Línea base de seguridad de contenedores

Crear una línea base de linting de Dockerfile alineada con registros confiables, privilegio mínimo y la guía de CIS Docker.

Prueba estos prompts

Analizar un Dockerfile
Revisa mi Dockerfile con orientación de Hadolint. Explica los problemas de seguridad más importantes y sugiere correcciones seguras.
Crear una comprobación de CI
Ayúdame a agregar Hadolint a CI para este repositorio. Usa un umbral de advertencia y explica cualquier permiso requerido.
Ajustar la severidad de las reglas
Diseña una configuración de Hadolint para Dockerfiles de producción. Separa las reglas de seguridad obligatorias de las reglas de estilo consultivas.
Auditar múltiples servicios
Planifica una auditoría de Hadolint para todos los Dockerfiles en este monorepo. Agrupa los hallazgos por riesgo y propón un plan de remediación por fases.

Mejores prácticas

  • Ejecuta Hadolint antes de las compilaciones de imágenes para que los defectos del Dockerfile fallen temprano.
  • Fija imágenes base, paquetes, actions y herramientas descargadas siempre que sea posible.
  • Registra las supresiones de reglas con un motivo y un responsable para su limpieza posterior.

Evitar

  • No copies ejemplos de instaladores de red en CI de producción sin controles de checksum o versión.
  • No suprimas grupos amplios de reglas de Hadolint para hacer que un pipeline pase rápidamente.
  • No trates el linting de Dockerfile como reemplazo del análisis de imágenes en runtime.

Preguntas frecuentes

¿Esta skill ejecuta Hadolint automáticamente?
Proporciona comandos y orientación de workflow. Un agente o usuario debe decidir si ejecutar esos comandos en el workspace.
¿Puede analizar imágenes de contenedor compiladas?
No. Se centra en el linting de Dockerfile. Usa analizadores de imágenes para paquetes instalados y vulnerabilidades de runtime.
¿Es adecuada para pipelines de CI?
Sí. Incluye patrones de GitHub Actions y GitLab CI, pero los equipos deben fijar versiones y verificar descargas.
¿Puede ayudar con la alineación al CIS Docker Benchmark?
Sí. Explica reglas de Hadolint que respaldan prácticas comunes del CIS Docker Benchmark.
¿Cómo deben manejar los equipos los falsos positivos?
Usa supresiones de reglas específicas con justificaciones escritas. Evita omisiones globales a menos que sean temporales y estén rastreadas.
¿Qué permisos se necesitan?
Los análisis locales necesitan acceso de lectura a los Dockerfiles. Los workflows de CI pueden necesitar permisos de carga de artefactos o eventos de seguridad.

Detalles del desarrollador