首页龙虾技能列表 › Dockerfile Hardening Audit — Dockerfile安全加固审计

Dockerfile Hardening Audit — Dockerfile安全加固审计

v1.0.0

静态审计Dockerfile,检测常见容器加固风险,包括root用户、未固定/最新基础镜像、缺失healthcheck指令和危险构建模式。支持正则过滤和失败门禁模式。

0· 224·0 当前·0 累计
by @daniellummis (Daniel Lummis)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/3/8
安全扫描
VirusTotal
无害
查看报告
OpenClaw
安全
high confidence
该技能的代码和运行时指令与其声明的目的(静态Dockerfile加固检查)一致,仅请求bash/python3,对glob匹配的文件执行本地静态分析,不联系外部端点或请求密钥。
评估建议
该技能在其声明目的上看起来连贯且风险较低。运行前:(1) 审查/限制DOCKERFILE_GLOB(或设置FILE_MATCH/FILE_EXCLUDE),仅扫描预期的仓库/路径,(2) 记住它是一个静态扫描器——它查找文本模式,可能产生误报/漏报(特别是对于复杂的多阶段FROM行或混淆的远程获取),(3) 您可以安全地检查捆绑的脚本(skills/dockerfile-hardening-audit/scripts/dockerfile-hardening-audit.sh)以确认没有意外行为。未发现网络调用或密钥泄露。...
详细分析 ▾
用途与能力
名称/描述(Dockerfile加固审计)与包含的脚本和SKILL.md匹配。所需二进制文件(bash, python3)正好是运行提供的shell+Python脚本所需的。未请求无关的凭证、配置路径或二进制文件。
指令范围
SKILL.md指示代理运行捆绑的脚本,该脚本对DOCKERFILE_GLOB匹配的Dockerfile路径执行静态文本分析。脚本仅从磁盘读取文件(无网络调用),使用正则检查标记模式(user、FROM标签、HEALTHCHECK、ADD、远程脚本管道),不执行Dockerfile中的代码。输入明确且仅限于文档化的环境变量。
安装机制
没有安装规范或远程下载;脚本捆绑在技能中。风险较低,因为安装期间不会从外部URL获取或写入异常位置。
凭证需求
未请求密钥或外部服务凭证。该技能接受多个可选环境标志来控制扫描行为(glob、阈值、开关),这些与任务相称。
持久化与权限
always为false,该技能不修改代理/系统配置或其他技能。它按需运行,不需要持久存在或提升权限。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/8

初始版本:静态Dockerfile加固风险审计,支持文本/json输出、正则过滤和失败门禁。

● 无害

安装命令 点击复制

官方npx clawhub@latest install dockerfile-hardening-audit
镜像加速npx clawhub@latest install dockerfile-hardening-audit --registry https://cn.clawhub-mirror.com

技能文档

Use this skill to statically audit Dockerfiles before insecure container defaults land in production.

What this skill does

  • Scans Dockerfiles and scores hardening risk per file
  • Flags missing non-root USER declarations
  • Flags base images using floating tags (:latest, :main, :master, :edge) or no tag/digest
  • Flags missing HEALTHCHECK
  • Flags ADD instructions (when COPY is safer/clearer)
  • Flags curl|bash/wget|sh style remote script execution
  • Supports include/exclude regex filters and fail-gate mode

Inputs

Optional:

  • DOCKERFILE_GLOB (default: */Dockerfile)
  • TOP_N (default: 20)
  • OUTPUT_FORMAT (text or json, default: text)
  • WARN_SCORE (default: 3)
  • CRITICAL_SCORE (default: 6)
  • REQUIRE_NON_ROOT_USER (0/1, default: 1)
  • REQUIRE_HEALTHCHECK (0/1, default: 1)
  • FLAG_FLOATING_TAGS (0/1, default: 1)
  • FLAG_UNPINNED_IMAGES (0/1, default: 1)
  • FLAG_ADD_INSTRUCTIONS (0/1, default: 1)
  • FLAG_REMOTE_SCRIPT_PIPE (0/1, default: 1)
  • FILE_MATCH (regex include filter on Dockerfile path, optional)
  • FILE_EXCLUDE (regex exclude filter on Dockerfile path, optional)
  • FAIL_ON_CRITICAL (0 or 1, default: 0)

Run

Text report: 

DOCKERFILE_GLOB='*/Dockerfile' \
bash skills/dockerfile-hardening-audit/scripts/dockerfile-hardening-audit.sh

JSON output + fail gate: 

DOCKERFILE_GLOB='*/Dockerfile' \
OUTPUT_FORMAT=json \
FAIL_ON_CRITICAL=1 \
bash skills/dockerfile-hardening-audit/scripts/dockerfile-hardening-audit.sh

Run against bundled fixtures: 

DOCKERFILE_GLOB='skills/dockerfile-hardening-audit/fixtures/Dockerfile' \
bash skills/dockerfile-hardening-audit/scripts/dockerfile-hardening-audit.sh

Output contract

  • Exit 0 in report mode (default)
  • Exit 1 when FAIL_ON_CRITICAL=1 and one or more Dockerfiles are critical
  • Text mode prints summary + ranked Dockerfile risks
  • JSON mode prints summary + ranked Dockerfiles + critical Dockerfiles
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务