我想知道是否有任何工具支持分析 Dockerfiles 的内容。当然,语法检查,但也突出显示对需要更新的旧包的引用。

我正在使用 SonarQube 对其他代码进行静态代码分析,但如果它不支持它(我找不到它支持的任何信息),是否还有其他工具可以做到这一点?

最佳答案

虽然这个问题已经有 2 年的历史了,但是有两种方法可以对 Dockerfile 进行静态分析。

  • 使用 FromLatest
  • 使用 Hadolint

  • 选项#2 是最可取的,因为这可以用作 CICD 管道内的自动化过程。

    Hadolint 还提供了使用“.hadolint.yml”排除消息/错误的方法

    关于sonarqube - Dockerfiles 的静态代码分析?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/46845739/

    10-16 22:29