dockerfile扫描工具现状

docker镜像一般都是根据dockerfile构建而来，一个dockerfile书写的好坏直接决定了docker镜像本身的质量。所以有必要对dockerfile进行规则扫描，剔除其中不符合最佳实践的一些写法。
截止到2019年12月底，社区比较出色的dockerfile扫描工具有：hadolint、dockerlint和红帽推出的dockerfile_lint。总体上来说这三个工具其实都不完善，基本上处于alpha之前的状态。

• hadolint是目前为止成熟最高的一个工具，一共支持60多条的自带规则。而且hadolint还支持对Run命令中带的shell命令进行审计。这一点功能是目前其他竞品不具备的。不过hadolint使用Haskell语言编写，且目前不支持规则文件导入。
  如果有新的规则需要编程实现。
• dockerlint 使用coffee_script语言编写，自带规则数量小于hadolint；也不支持规则文件导入功能。
• dockerfile_lint 红帽发布，使用node.js编写的一个dockerfile扫描工具。支持的规则数量小于hadolint，但是支持通过yaml文件方式导入用户自定义规则。

从以上分析来看，我认为dockerfile_lint其实更具潜力，因为dockerfile扫描规则其实是不固定的。每个用户都可以有自己的dockerfile扫描规范，所以通过脚本添加规则其实是一种刚需。 hadolint和dockerlint恰恰不具备这个能力，所以我最终选择了dockerfile_lint作为扫描工具。

dockerfile_lint工具的使用

dockerfile_lint代码在github.com/projectatomic/dockerfile_lint下，有两种方法执行dockerfile_lint：

• 从dockerhub官方下载dockerfile_lint latest的docker镜像。
• 在nodejs执行环境上，运行dockerfile_lint扫描工具。
  因为nodejs执行环境本人没有搭建经验，所以直接选择最简单的方式从dockerhub官方下载dockerfile_lint镜像。下面基于docker镜像方式介绍dockerfile_lint功能。

docker run -it --privileged -v target_dockerfile_dir:/target/ projectatomic/dockerfile-lint:latest /bin/bash
 [root@4298ab08644f /]#dockerfile_lint -f /target/Dockerfile -v 

dockerfile_lint 支持下面参数
-h 打印help信息
-j 结果以jason格式输出
-r rulefile 指定一个规则文件。
-v 打印debug新秀
-f 指定dockerfile的路径
-e 打印出目前的规则

dockerfile_lint 规则

目前为止dockerfile_lint默认情况下带了default_rules.yaml和base_rules.yaml。如果不指定任何rulefile，那么系统默认采用这两个规则文件，在docker镜像的/opt/dockerfile_lint/config/目录下。此外在/opt/dockerfile_lint/sample_rules下面还带了很多事例rule。可以直接在容器内部修改default_rules.yaml和base_rules.yaml文件，然后再运行dockerfile_lint。
可以看到dockerfile_lint的规则基本上都是基于正则匹配的，所以用户可以很方便的扩展新的规则。
需要注意的是dockerfile_lint语法中required_instruction域中的count字段在19年12月截止的版本中是无效的。