📦 Helm Chart 审计器

v1.0.0

审计 Helm Chart 的安全性、最佳实践、模板正确性及生产就绪性——检查 values、templates、hooks、依赖和 RBAC。

0· 0·0 当前·0 累计

by @charlie-morrison

数据分析安全数据可视化网络安全

下载技能包

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install helm-chart-auditor

镜像加速npx clawhub@latest install helm-chart-auditor --registry https://cn.longxiaskill.com✓ 镜像可用

需要定制？告诉我你的需求 →

技能文档

Helm Chart Auditor 审计 Helm Chart 的安全漏洞、最佳实践、模板正确性与生产就绪性。检查 Chart.yaml、values.yaml、templates、hooks、RBAC 及依赖管理。

用法 “Audit my Helm chart for issues” “Check Helm templates for security” “Review values.yaml for best practices” “Validate Helm chart before publishing”

工作原理

Chart 发现

cat Chart.yaml 2>/dev/null cat values.yaml 2>/dev/null | head -50 ls templates/ 2>/dev/null helm lint . 2>&1

安全审计

容器以 root 运行（无 securityContext）缺少资源限制（CPU/内存）特权容器使用主机网络/PID 缺少 NetworkPolicies ServiceAccount 权限过大 values.yaml 中明文存储 Secret

模板质量

必填值无默认值缺少辅助模板（_helpers.tpl）硬编码值应放入 values.yaml 缺少标准标签（app.kubernetes.io）模板渲染错误 include 与 template 使用不当未用 .Release.Namespace 限定命名空间

生产就绪

健康探针（liveness、readiness、startup）已定义 PodDisruptionBudget 配置 Horizontal Pod Autoscaler 高可用反亲和规则滚动更新策略镜像标签非 latest 镜像拉取策略合理

Values 模式

存在 values.schema.json？默认值适合开发生产覆盖文档化敏感值明确标记提供环境示例

输出

Helm Chart Audit

Chart: my-app v1.2.0 | Templates: 8

🔴 Critical (2)

Running as root — templates/deployment.yaml

未设 securityContext → 默认 root 运行 → 添加：runAsNonRoot: true, runAsUser: 1000

No resource limits — templates/deployment.yaml

缺少 resources.limits → 可耗尽节点资源 → 按负载添加 CPU/内存限制

🟡 Improvements (4)

values.yaml 默认镜像标签为 latest
缺少 PodDisruptionBudget 模板
无 values.schema.json 用于校验
多副本部署缺少反亲和规则

✅ Good Practices

已配置健康探针（liveness + readiness）
通过 _helpers.tpl 应用标准标签
包含 HPA 模板且默认值合理
Chart.yaml 具备正确的 appVersion 与描述

数据来源：ClawHub ↗ · 中文优化：龙虾技能库