30 个版本
| 0.6.5 | 2024年8月6日 |
|---|---|
| 0.6.0 | 2024年7月30日 |
| 0.4.2 | 2023年9月7日 |
| 0.4.1 | 2023年7月30日 |
| 0.2.15 | 2021年7月6日 |
949 在 命令行工具 中排名
每月下载量 724 次
56KB
1K SLoC
hadolint-sarif
此软件包提供了一个命令行工具,用于将 hadolint 诊断输出转换为 SARIF。
最新的文档 可在此处找到。
hadolint 是一个流行的 Dockerfile 检查器/静态分析工具。更多信息可以在官方仓库中找到: https://github.com/hadolint/hadolint
SARIF 或静态分析结果交换格式是静态分析工具输出的行业标准格式。更多信息可以在官方网站上找到: https://sarifweb.azurewebsites.net/
安装
hadolint-sarif 可以通过 cargo 安装
cargo install hadolint-sarif
cargo binstall hadolint-sarif
或直接从 Github 发布版本下载
# make sure to adjust the target and version (you may also want to pin to a specific version)
curl -sSL https://github.com/psastras/sarif-rs/releases/download/hadolint-sarif-latest/hadolint-sarif-x86_64-unknown-linux-gnu -o hadolint-sarif
用法
对于大多数情况,只需运行带有 json 输出的 hadolint,并将结果管道输入到 hadolint-sarif。
示例
hadolint -f json Dockerfile | hadolint-sarif
如果您正在使用 Github Actions,SARIF 对于与 Github 高级安全 (GHAS) 集成非常有用,它可以在您的仓库的 "安全" 标签中显示代码警报。
上传 hadolint-sarif 输出到 Github 后,hadolint 诊断将在 GHAS 中可用。
示例
on:
workflow_run:
workflows: ["main"]
branches: [main]
types: [completed]
name: sarif
jobs:
upload-sarif:
runs-on: ubuntu-latest
if: ${{ github.ref == 'refs/heads/main' }}
steps:
- uses: actions/checkout@v2
- uses: actions-rs/toolchain@v1
with:
profile: minimal
toolchain: stable
override: true
- uses: Swatinem/rust-cache@v1
- run: cargo install hadolint-sarif sarif-fmt
- run: hadolint -f json Dockerfile | hadolint-sarif | tee results.sarif |
sarif-fmt
- name: Upload SARIF file
uses: github/codeql-action/upload-sarif@v1
with:
sarif_file: results.sarif
许可证:MIT
依赖关系
~1.8–3MB
~55K SLoC