container-hadolint
Auditar Dockerfiles con Hadolint
Los Dockerfiles a menudo ocultan valores predeterminados inseguros, paquetes sin fijar y patrones de compilación débiles. Esta skill guía los análisis de Hadolint, la integración con CI y la remediación práctica para compilaciones de contenedores.
Descargar el ZIP de la habilidad
Subir en Claude
Ve a Configuración → Capacidades → Habilidades → Subir habilidad
Activa y empieza a usar
Recursos legibles por agentes
Usa estos enlaces cuando un agente de IA, crawler o script necesite contexto limpio en vez de leer la página completa.
Pruébalo
Usando "container-hadolint". Un Dockerfile usa ubuntu:latest, instala curl sin una versión fijada y se ejecuta como root.
Resultado esperado:
La revisión destaca imágenes base mutables, paquetes sin fijar y controles de privilegio mínimo ausentes. Recomienda una etiqueta base fija, versiones de paquetes fijadas y un usuario no root.
Usando "container-hadolint". Un equipo quiere que GitHub Actions falle cuando los Dockerfiles infrinjan reglas importantes de Hadolint.
Resultado esperado:
La respuesta propone un workflow de Hadolint, explica la opción de carga SARIF y advierte que se deben fijar las versiones de las herramientas o verificar las descargas.
Usando "container-hadolint". Un servicio heredado tiene muchas advertencias de Hadolint y no puede corregir todos los problemas a la vez.
Resultado esperado:
La respuesta sugiere un perfil de migración permisivo, documenta las omisiones temporales aceptadas y define controles más estrictos para imágenes de producción.
Auditoría de seguridad
Riesgo medioThe static analyzer reported many severe patterns, but review shows most are Markdown examples or Hadolint configuration references, not hidden malicious behavior. The skill is safe to publish with a warning because it encourages external command execution and includes an unverified network installer pattern.
Confirmed security concerns (1)
Needs review findings (1)
These findings came from uncertain legacy audit verdicts, so they require review but are not counted as confirmed security issues.
Static false positives ignored (4)
These static matches were dismissed by semantic review or matched schema-only tokens, so they are shown for transparency but do not drive the quality score.
Factores de riesgo
⚙️ Comandos externos (6)
🌐 Acceso a red (4)
📁 Acceso al sistema de archivos (3)
🔑 Variables de entorno (2)
Patrones detectados
Puntuación de calidad
Lo que puedes crear
Revisión de Dockerfile para desarrolladores
Revisar un Dockerfile antes de abrir una pull request y obtener pasos claros de remediación para hallazgos comunes de Hadolint.
Implementación de políticas en CI
Agregar Hadolint a GitHub Actions o GitLab CI con umbrales que se ajusten a flujos de trabajo de producción y migración.
Línea base de seguridad de contenedores
Crear una línea base de linting de Dockerfile alineada con registros confiables, privilegio mínimo y la guía de CIS Docker.
Prueba estos prompts
Revisa mi Dockerfile con orientación de Hadolint. Explica los problemas de seguridad más importantes y sugiere correcciones seguras.
Ayúdame a agregar Hadolint a CI para este repositorio. Usa un umbral de advertencia y explica cualquier permiso requerido.
Diseña una configuración de Hadolint para Dockerfiles de producción. Separa las reglas de seguridad obligatorias de las reglas de estilo consultivas.
Planifica una auditoría de Hadolint para todos los Dockerfiles en este monorepo. Agrupa los hallazgos por riesgo y propón un plan de remediación por fases.
Mejores prácticas
- Ejecuta Hadolint antes de las compilaciones de imágenes para que los defectos del Dockerfile fallen temprano.
- Fija imágenes base, paquetes, actions y herramientas descargadas siempre que sea posible.
- Registra las supresiones de reglas con un motivo y un responsable para su limpieza posterior.
Evitar
- No copies ejemplos de instaladores de red en CI de producción sin controles de checksum o versión.
- No suprimas grupos amplios de reglas de Hadolint para hacer que un pipeline pase rápidamente.
- No trates el linting de Dockerfile como reemplazo del análisis de imágenes en runtime.
Preguntas frecuentes
¿Esta skill ejecuta Hadolint automáticamente?
¿Puede analizar imágenes de contenedor compiladas?
¿Es adecuada para pipelines de CI?
¿Puede ayudar con la alineación al CIS Docker Benchmark?
¿Cómo deben manejar los equipos los falsos positivos?
¿Qué permisos se necesitan?
Detalles del desarrollador
Autor
AgentSecOpsLicencia
MIT
Version
v0.1.0
Repositorio
https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/devsecops/container-hadolintRef.
main
Estructura de archivos