スキル container-hadolint
📦

container-hadolint

中リスク ⚙️ 外部コマンド🌐 ネットワークアクセス📁 ファイルシステムへのアクセス🔑 環境変数

HadolintでDockerfileを監査

Dockerfileには、安全でないデフォルト設定、固定されていないパッケージ、脆弱なビルドパターンが隠れていることがよくあります。このスキルは、コンテナビルド向けにHadolintスキャン、CI統合、実践的な修復をガイドします。

対応: Claude Codex Code(CC)
⚠️ 50 貧弱
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

Agent向けリソース

AI Agent、クローラー、またはスクリプトがページ全体ではなくクリーンなコンテキストを必要とする場合は、これらのリンクを使ってください。

Markdown詳細 GET /skills/agentsecops-container-hadolint.md 署名済みmanifest GET /api/skills/agentsecops-container-hadolint/manifest 署名済みlockfile GET /api/skills/agentsecops-container-hadolint/lockfile

テストする

「container-hadolint」を使用しています。 Dockerfileがubuntu:latestを使用し、固定バージョンなしでcurlをインストールし、rootとして実行している。

期待される結果:

レビューでは、変更可能なベースイメージ、固定されていないパッケージ、最小権限制御の欠如を強調します。固定されたベースタグ、固定されたパッケージバージョン、非rootユーザーを推奨します。

「container-hadolint」を使用しています。 チームは、Dockerfileが重要なHadolintルールに違反した場合にGitHub Actionsを失敗させたい。

期待される結果:

回答ではHadolintワークフローを提案し、SARIFアップロードオプションを説明し、ツールのバージョンを固定するかダウンロードを検証するよう警告します。

「container-hadolint」を使用しています。 レガシーサービスには多数のHadolint警告があり、すべての問題を一度に修正できない。

期待される結果:

回答では、許容型の移行プロファイル、一時的に受け入れるignoreの文書化、本番イメージ向けのより厳格なゲート定義を提案します。

セキュリティ監査

中リスク
v6 • 6/28/2026

The static analyzer reported many severe patterns, but review shows most are Markdown examples or Hadolint configuration references, not hidden malicious behavior. The skill is safe to publish with a warning because it encourages external command execution and includes an unverified network installer pattern.

8
スキャンされたファイル
1,389
解析された行数
10
検出結果
6
総監査数
中リスクの問題 (2)
assets/github-actions.yml:75-76SKILL.md:40-42
Unverified Network Download in CI Template
The GitHub Actions template downloads the latest Hadolint binary with wget and makes it executable without checksum verification or immutable version pinning. This is legitimate setup guidance, but it creates supply-chain risk if copied directly into production CI.
SKILL.md:50-58SKILL.md:320-328assets/gitlab-ci.yml:15-26
Agent May Run External Container Linting Commands
The skill is built around running hadolint, docker, find, jq, and CI shell snippets against repository files. This is expected for the skill, but users should understand that following the instructions can execute local tools and read Dockerfiles in the workspace.
低リスクの問題 (4)
SKILL.md:36-58references/security_rules.md:39-47references/security_rules.md:81-90
Markdown Code Examples Triggered External Command Alerts
Most external command findings occur inside Markdown examples that demonstrate Hadolint usage, CI scripts, or Dockerfile remediation patterns. They are not hidden runtime code bundled with the skill.
references/security_rules.md:148-151references/security_rules.md:170-172SKILL.md:367-369
Recursive Delete Alerts Are Dockerfile Cleanup Examples
The recursive deletion findings are examples of removing apt package lists or apk cache inside Dockerfile instructions. They do not delete host root or home directories.
references/security_rules.md:245-258SKILL.md:257-262
Environment Secret Alerts Are Secure BuildKit Examples
The API key and authorization examples appear in documentation that warns against ARG secrets and recommends Docker BuildKit secret mounts. No evidence found of credential collection or exfiltration by the skill.
references/EXAMPLE.md:35-39assets/hadolint-strict.yaml:36-48SKILL.md:482-484
Reconnaissance and C2 Keyword Alerts Are Contextual False Positives
Network and system reconnaissance alerts map to security-framework references, trusted registry examples, label schema fields, or ShellCheck rule names. No evidence found of scanning networks or contacting command-and-control infrastructure.

リスク要因

⚙️ 外部コマンド (6)
SKILL.md:50-58 SKILL.md:238-247 SKILL.md:320-328 assets/github-actions.yml:68-82 assets/gitlab-ci.yml:15-26 references/security_rules.md:81-90
🌐 ネットワークアクセス (4)
SKILL.md:40-45 assets/github-actions.yml:75 references/security_rules.md:251-258 SKILL.md:594-598
📁 ファイルシステムへのアクセス (3)
references/security_rules.md:206 SKILL.md:243-250 references/security_rules.md:148-151
🔑 環境変数 (2)
references/security_rules.md:250-258 SKILL.md:257-262

検出されたパターン

Unpinned External Installer Pattern
監査者: codex 監査履歴を表示 →

品質スコア

55
アーキテクチャ
100
保守性
87
コンテンツ
72
コミュニティ
47
セキュリティ
96
仕様準拠

作れるもの

開発者によるDockerfileレビュー

プルリクエストを開く前にDockerfileを確認し、一般的なHadolintの検出結果に対する明確な修復手順を得ます。

CIポリシーの展開

本番環境と移行ワークフローに合ったしきい値で、HadolintをGitHub ActionsまたはGitLab CIに追加します。

コンテナセキュリティのベースライン

信頼済みレジストリ、最小権限、CIS Dockerガイダンスに沿ったDockerfile lintingのベースラインを作成します。

これらのプロンプトを試す

1つのDockerfileをスキャン 
Hadolintのガイダンスに沿って私のDockerfileをレビューしてください。最も重要なセキュリティ問題を説明し、安全な修正を提案してください。
CIチェックを作成 
このリポジトリのCIにHadolintを追加するのを手伝ってください。警告しきい値を使用し、必要な権限を説明してください。
ルールの重大度を調整 
本番用Dockerfile向けのHadolint設定を設計してください。必須のセキュリティルールと助言的なスタイルルールを分けてください。
複数サービスを監査 
このmonorepo内のすべてのDockerfileに対するHadolint監査を計画してください。検出結果をリスク別に分類し、段階的な修復計画を提案してください。

ベストプラクティス

  • イメージビルドの前にHadolintを実行し、Dockerfileの欠陥を早期に失敗させます。
  • 可能な限り、ベースイメージ、パッケージ、actions、ダウンロードするツールを固定します。
  • ルールの抑制は、理由と後でクリーンアップするための担当者を記録します。

回避

  • チェックサムやバージョン管理なしで、ネットワークインストーラーの例を本番CIにコピーしないでください。
  • パイプラインを素早く通すために、広範なHadolintルールグループを抑制しないでください。
  • Dockerfile lintingをランタイムイメージスキャンの代替として扱わないでください。

よくある質問

このスキルはHadolintを自動的に実行しますか?
コマンドとワークフローのガイダンスを提供します。エージェントまたはユーザーが、それらのコマンドをworkspaceで実行するかどうかを判断する必要があります。
ビルド済みコンテナイメージをスキャンできますか?
いいえ。Dockerfile lintingに焦点を当てています。インストール済みパッケージやランタイム脆弱性にはイメージスキャナーを使用してください。
CIパイプラインに適していますか?
はい。GitHub ActionsとGitLab CIのパターンが含まれていますが、チームはバージョンを固定し、ダウンロードを検証する必要があります。
CIS Docker Benchmarkへの整合に役立ちますか?
はい。一般的なCIS Docker Benchmarkプラクティスを支援するHadolintルールを説明します。
チームは誤検知にどう対応すべきですか?
対象を絞ったルール抑制を、書面による正当化とともに使用します。一時的で追跡されている場合を除き、グローバルなignoreは避けてください。
どのような権限が必要ですか?
ローカルスキャンにはDockerfileへの読み取りアクセスが必要です。CIワークフローでは、artifactアップロードまたはsecurity eventの権限が必要になる場合があります。

開発者の詳細

作成者

AgentSecOps

ライセンス

MIT

リポジトリ

https://github.com/AgentSecOps/SecOpsAgentKit/tree/main/skills/devsecops/container-hadolint

参照

main

ファイル構成

📁 assets/

📄 github-actions.yml

📄 gitlab-ci.yml

📄 hadolint-balanced.yaml

📄 hadolint-permissive.yaml

📄 hadolint-strict.yaml

📁 references/

📄 EXAMPLE.md

📄 security_rules.md

📄 SKILL.md