标签: sonarqube dockerfile static-analysis
我想知道是否有任何工具支持来分析Dockerfiles的内容。当然,语法检查,但也突出显示需要更新的旧包的引用。
我使用SonarQube对其他代码进行静态代码分析,但如果它不支持它(我找不到它所做的任何信息),是否还有其他工具可以做到这一点?
答案 0 :(得分:0)
尽管这个问题已有2年历史了,但是有两种方法可以对Dockerfile进行静态分析。
选项#2最可取,因为它可以用作CICD管道内的自动化过程。
Hadolint还提供了使用“ .hadolint.yml”排除消息/错误的方法