<aside class="msg message">!<div class="msg-content">
技術記事は 個人ブログ へお引越ししました。 
興味を持ってくださった方はZennではなく<a href="https://dev.inorinrinrin.com/" target="_blank" rel="nofollow noopener noreferrer">こちら</a>をご購読いただければと思います🙏
</div></aside>
Dockerは公式にDockerfileのベストプラクティスを表明しています。
<iframe id="zenn-embedded__c9cf81ab381a7" src="https://embed.zenn.studio/card#zenn-embedded__c9cf81ab381a7" data-content="https%3A%2F%2Fdocs.docker.com%2Fbuild%2Fbuilding%2Fbest-practices%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.docker.com/build/building/best-practices/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.docker.com/build/building/best-practices/</a>
が、このベストプラクティスに沿っているかどうか？を人間がいちいちレビューしていくのは正直しんどい、というか現実的ではない…
そこで「せや！静的解析したろ！」という時に便利なのがhadolintというライブラリです。
<iframe id="zenn-embedded__e15d552671e2d" src="https://embed.zenn.studio/card#zenn-embedded__e15d552671e2d" data-content="https%3A%2F%2Fgithub.com%2Fhadolint%2Fhadolint" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/hadolint/hadolint" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/hadolint/hadolint</a>
<h1 id="%E4%BD%BF%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B" data-line="15" class="code-line">
<a class="header-anchor-link" href="#%E4%BD%BF%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> 使ってみる</h1>
今回はVSCode拡張機能とGHAのCI時に静的解析してもらいたいと思います。
今回はちょうどメンテナンスしていない自分のリポジトリがあるので、これに対して静的解析をかけていきます。
<iframe id="zenn-embedded__a352a91780d3d" src="https://embed.zenn.studio/card#zenn-embedded__a352a91780d3d" data-content="https%3A%2F%2Fgithub.com%2Fysknsid25%2Fotaku-tool" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/ysknsid25/otaku-tool" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/ysknsid25/otaku-tool</a>
まずはVSCode拡張機能で利用するための下準備として、hadolint本体をOSにインストールします。
Macの場合はこちら。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="27">brew install hadolint
</code></pre></div>それ以外の場合はこちらをご参照ください。
<iframe id="zenn-embedded__c68c570907142" src="https://embed.zenn.studio/card#zenn-embedded__c68c570907142" data-content="https%3A%2F%2Fgithub.com%2Fhadolint%2Fhadolint%23install" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://github.com/hadolint/hadolint#install" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/hadolint/hadolint#install</a>
インストールが終わったら、まずはCLIで実行してみます。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="37">hadolint 対象のDockerfile
</code></pre></div>すると、こういう感じで怒ってくれました。
<div class="code-block-container"><pre class="language-bash"><code class="language-bash code-line" data-line="43">docker/php/Dockerfile:8 DL3008 warning: Pin versions in apt get install. Instead of `apt-get install &lt;package&gt;` use `apt-get install &lt;package&gt;=&lt;version&gt;`
docker/php/Dockerfile:8 DL3015 info: Avoid additional packages by specifying `--no-install-recommends`
docker/php/Dockerfile:14 DL4006 warning: Set the SHELL option -o pipefail before RUN with a pipe in it. If you are using /bin/sh in an alpine image or if your shell is symlinked to busybox then consider explicitly setting your SHELL to /bin/ash, or disable this check
docker/php/Dockerfile:15 DL3027 warning: Do not use apt as it is meant to be a end-user tool, use apt-get or apt-cache instead
docker/php/Dockerfile:17 DL3059 info: Multiple consecutive `RUN` instructions. Consider consolidation.
docker/php/Dockerfile:18 DL3059 info: Multiple consecutive `RUN` instructions. Consider consolidation.
docker/php/Dockerfile:19 DL3059 info: Multiple consecutive `RUN` instructions. Consider consolidation.
docker/php/Dockerfile:20 DL3059 info: Multiple consecutive `RUN` instructions. Consider consolidation.
</code></pre></div>ではVSCode拡張機能で確認してみます。
<h2 id="vscode%E6%8B%A1%E5%BC%B5%E6%A9%9F%E8%83%BD%E3%81%A7hadolint%E3%82%92%E4%BD%BF%E3%81%86" data-line="56" class="code-line">
<a class="header-anchor-link" href="#vscode%E6%8B%A1%E5%BC%B5%E6%A9%9F%E8%83%BD%E3%81%A7hadolint%E3%82%92%E4%BD%BF%E3%81%86" aria-hidden="true"></a> VSCode拡張機能でhadolintを使う</h2>
フィードバックループを短くするための静的解析であり、最短のフィードバックループを獲得するにはやはり開発時にリアルタイムで怒られたい。
ということでVSCodeの拡張機能でhadolintに怒ってもらいたいと思います。
<iframe id="zenn-embedded__832095cdfcb21" src="https://embed.zenn.studio/card#zenn-embedded__832095cdfcb21" data-content="https%3A%2F%2Fmarketplace.visualstudio.com%2Fitems%3FitemName%3Dexiasr.hadolint" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://marketplace.visualstudio.com/items?itemName=exiasr.hadolint" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://marketplace.visualstudio.com/items?itemName=exiasr.hadolint</a>
有効にすると、CLIをあらかじめ入れておくだけでこのようにエディタの上で視覚的に怒ってくれるようになりました。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--VoEBUGVh--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8bc17d81ea4f6f2387491c88.png%3Fsha%3D50fce41542c7e4f8f52f598ebeb9a68531a72117" loading="lazy" class="md-img">
<h2 id="github-actions%E3%81%A7hadolint%E3%82%92%E4%BD%BF%E3%81%86" data-line="68" class="code-line">
<a class="header-anchor-link" href="#github-actions%E3%81%A7hadolint%E3%82%92%E4%BD%BF%E3%81%86" aria-hidden="true"></a> GitHub Actionsでhadolintを使う</h2>
次に開発時に気づかなかった場合などに備えて、CIのタイミングでも静的解析を実行し、警告やエラーがある場合はインテグレーションを中止するように設定していきます。
ここではGitHub Actionsを使ってhadlintによる静的解析を実行します。
今回は簡単に検証したいだけなので、雑にこういう感じでworkflowを用意します。
<div class="code-block-container"><pre class="language-yml"><code class="language-yml code-line" data-line="76">name: lint

on:
 push:

jobs:
 lint:
 name: hadlint
 runs-on: ubuntu-latest

 steps:
 - uses: actions/checkout@v3
 - uses: hadolint/hadolint-action@v3.1.0
 with:
 dockerfile: docker/php/Dockerfile
 failure-threshold: warning
</code></pre></div><code>failure-threshold</code>でCIが失敗するhadolintのエラーレベルを指定できます。
今回は警告の場合でもCIが失敗するようにしてみます。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--tXZPxUK7--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/bf9e9fe268710b07f9c12e84.png%3Fsha%3Dce92b9b1429cb886d32eb563606988cf29f08bd1" loading="lazy" class="md-img">
VSCode拡張機能で出ていた内容と同じエラーが表示され、CIが失敗してくれました。
一方で<code>failure-threshold</code>を<code>error</code>とすると…？
CI自体には成功しましたが、警告は出してくれています。
<img src="https://res.cloudinary.com/zenn/image/fetch/s--jeT-woLR--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/bcaa4918b515d37a68cfa8f7.png%3Fsha%3D7a1acbc50288901ba86804bf44457018743a84b7" loading="lazy" class="md-img">
<h1 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" data-line="109" class="code-line">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h1>
以上、hadolintの使い方でした。
hadolintに行き着いたきっかけはCloudRunやFargateのようなCaaSを使う機会が増えたからです。
「Dockerfile自体の脆弱性を減らしたり、お作法を守って書きたいな〜」というところでhadolintに行き着きました。
導入も設定もめちゃくちゃ簡単なので、これからはDockerfileを書くときは常に有効にしておきたいです。

hadolintを使ってDockerfileをベストプラクティスに沿った状態に保つ

docker

Discussion