Was bedeuten Rule-IDs wie DL3007?

Der Praefix ist die **Familie**: `DL` fuer hadolint-Dockerfile-Regeln, `SC` fuer ShellCheck-Regeln. Die Zahl ist die **Regelnummer** im oeffentlichen Katalog. `DL3007` ist "Do not use the :latest tag". `SC2086` ist "Quote shell variables to prevent word splitting". Die ID in den GitHub-Repos von hadolint oder ShellCheck nachschlagen gibt die volle Beschreibung, Begruendung und Beispiele.

Warum ist :latest speziell ein Problem?

Weil **:latest ein wanderndes Ziel ist**. `FROM node:latest` baut mit der Node-Version, die zum Build-Zeitpunkt als latest getaggt war. Drei Monate spaeter rebuildet das Image (CI-Cache invalidiert, Base-Image-Refresh, irgendetwas) und aus Node 22 ist Node 24 mit Breaking Changes geworden. Auf eine **bestimmte Version** wie `node:20.11-alpine` pinnen oder besser auf einen **Digest** wie `node:20.11-alpine@sha256:abc...` fuer volle Reproduzierbarkeit. Tradeoff: ein Digest braucht manuelle Updates.

apt-get install + Cleanup, warum in einem RUN?

Weil **jede `RUN`-Instruktion ein separater Layer ist**. Layer 1 installiert Pakete -> 200 MB. Layer 2 loescht `/var/lib/apt/lists` -> 0 MB, aber **Layer 1 transportiert die 200 MB weiter**. Docker-Layer sind append-only, Inhalt aus einem spaeteren Layer kann nicht entfernt werden. Das Pattern ist also **Install + Clean in einem RUN**: `RUN apt-get update && apt-get install -y --no-install-recommends curl=1.2 && rm -rf /var/lib/apt/lists/*`. Die 200 MB landen nie in einem Layer.

Warum gilt ADD als schlechter als COPY?

Weil **ADD versteckte Magie hat**. Es macht drei Dinge: lokale Dateien kopieren (wie COPY), aus URLs holen (manchmal nuetzlich, oft ueberraschend) und Tarballs auto-extrahieren (`ADD foo.tar.gz /app/` packt aus). Das Auto-Extract ueberrascht. **COPY** macht eine Sache vorhersagbar. Hadolint sagt: COPY fuer lokale Dateien (`DL3020`); zu ADD nur greifen, wenn du wirklich URL-Fetch oder Tarball-Extract willst. Der Fix in diesem Linter ersetzt `ADD` nur dann durch `COPY`, wenn der Pfad lokal ist.

CMD Shell-Form vs Exec-Form, was ist der Unterschied?

**Shell-Form**: `CMD npm run start`. Docker wickelt das in `/bin/sh -c "npm run start"`. Der echte PID 1 ist die **Shell**, nicht deine App. Die Shell **leitet Signale nicht weiter**, `docker stop` schickt SIGTERM an die Shell, die das oft ignoriert. Container braucht 10 Sekunden (Default-Stop-Timeout), bis er stirbt. **Exec-Form**: `CMD ["npm", "run", "start"]`. Deine App ist direkt PID 1, Signale erreichen sie. Graceful Shutdown funktioniert wirklich. Immer Exec-Form bevorzugen (`DL3025`).

Warum ist Running-as-Root wichtig?

Drei Gruende. **Eins**, Defense in Depth: gibt es eine Luecke in deiner App, kann root im Container schneller ausbrechen (denk an CVEs aelterer runc-Versionen). **Zwei**, Kubernetes Pod Security Standards lehnen root standardmaessig im Restricted-Mode ab; viele Orgs fahren so. **Drei**, Dateirechte werden verwirrend, wenn deine App als root schreibt und jemand anderes als normaler User liest (Volume-Mounts). `USER 65532:65532` (oder einen mit `adduser` angelegten Named-User) gegen Ende des Dockerfiles setzen und sicherstellen, dass Pfade, in die die App schreibt, fuer diese UID schreibbar sind.

Wofuer ist HEALTHCHECK?

HEALTHCHECK ist ein Befehl, den Docker periodisch ausfuehrt, um zu fragen "ist der Container bereit?". Output: `healthy` / `unhealthy`. Docker reicht den Status an **Orchestratoren**: `docker compose up --wait` wartet auf healthy; Kubernetes nutzt aehnliches via Probes; Swarm reschedulet unhealthy Tasks. Ohne HEALTHCHECK ist der Container nur "running", das ist nicht "bereit, Arbeit zu uebernehmen". Fuer langlaufende Services einen ergaenzen: `HEALTHCHECK --interval=30s --timeout=5s CMD wget -q --spider http://localhost:3000/health || exit 1`.

Warum per Digest pinnen?

Weil **ein Tag ein Label ist, ein Digest der Inhalt**. Selbst `node:20.11-alpine` kann **republished** werden mit anderem Inhalt (Security-Fix, Base-Layer-Update). Meist ist die Aenderung willkommen, aber in regulierten Umgebungen oder fuer forensische Reproduzierbarkeit willst du `node:20.11-alpine@sha256:abc...`. Nach dem Pinnen aendert sich der Image-Inhalt nur durch ein Digest-Update im Dockerfile und Rebuild. Tradeoff: du musst an Security-Updates denken (Tools wie Renovate automatisieren das).

Kann der Linter mein ganzes Dockerfile umformatieren?

**Teilweise.** Einfache Substitutionen sind automatisch: `MAINTAINER` -> `LABEL maintainer`, `ADD` -> `COPY` bei lokaler Quelle. Komplexe Aenderungen brauchen einen Menschen: Versionen pinnen heisst die richtige Version waehlen, RUNs zusammenlegen heisst Abhaengigkeiten verstehen, HEALTHCHECK ergaenzen heisst wissen, was zu pruefen ist. Das "fixed"-Panel als Startpunkt nutzen und den Rest der Vorschlaege per Hand anwenden.

Dockerfile-Linter

Dockerfile prüfen: Best Practices, Layer-Tricks, Security-Probleme.

LiveLäuft im Browser

BeispieleKlick zum Laden

Dockerfile

Füge deinen Dockerfile-Inhalt ein

11 Zeilen

Fehler

Warnungen

Infos

Probleme

DL3007 · line 1
FROM uses :latest tag (node:latest)
Fix: Pin to an explicit version, e.g. `node:20.11-alpine`, or even better, a digest
CUSTOM_DIGEST · line 1
Image node:latest is not pinned by digest
Fix: For maximal reproducibility, pin to a digest: `image:tag@sha256:...`. Trade-off: harder to update
CUSTOM_USER · line 1
Stage (default) never sets USER, will run as root
Fix: Add `USER 65532:65532` (or a named user) toward the end of the build stage
CUSTOM_HEALTH · line 1
Final stage has no HEALTHCHECK
Fix: Add a `HEALTHCHECK CMD ...` so Docker can mark unhealthy containers and other tooling can wait for ready
DL4000 · line 2
MAINTAINER is deprecated since Docker 1.13
Fix: Replace with `LABEL maintainer="name <email>"`
DL3020 · line 3
ADD is used for a local file, use COPY instead
Fix: COPY is preferred for local files. ADD has surprising behavior (auto-extract, URL fetch)
DL3020 · line 4
ADD is used for a local file, use COPY instead
Fix: COPY is preferred for local files. ADD has surprising behavior (auto-extract, URL fetch)
DL3008 · line 6
apt-get install has unpinned versions: curl, wget, git
Fix: Pin versions: `apt-get install -y package=1.2.3`. Build reproducibility depends on this
DL3015 · line 6
apt-get install without --no-install-recommends
Fix: Add `--no-install-recommends` to skip optional dependencies and shrink the image
DL3009 · line 6
apt-get install without cleanup
Fix: Add `&& rm -rf /var/lib/apt/lists/*` at the end of the RUN to delete cached package lists
DL3047 · line 6
wget without --progress (or -q) emits noisy logs
Fix: Use `wget --progress=dot:giga` or `wget -q` to keep the build log clean
DL4001 · line 6
Both wget and curl are used
Fix: Pick one. Mixing both adds an unnecessary package and a few MB to the image
DL3059 · line 6
Multiple consecutive RUN instructions
Fix: Each RUN is a new layer. Merge with `&&` and `\` line continuations to reduce image size
DL3003 · line 7
RUN cd ... is brittle, use WORKDIR
Fix: Each RUN starts a fresh shell. `cd` does not persist across instructions. Use `WORKDIR /path` instead
DL3059 · line 7
Multiple consecutive RUN instructions
Fix: Each RUN is a new layer. Merge with `&&` and `\` line continuations to reduce image size
DL3000 · line 8
WORKDIR uses a relative path (app)
Fix: Use an absolute path, e.g. `WORKDIR /app`
DL3025 · line 10
CMD should use the JSON array form
Fix: Use the exec form: `CMD ["bin", "arg1", "arg2"]`. The shell form (string) forks a /bin/sh that does not forward signals

Best-Effort korrigierte Version

Einfache Ersetzungen: MAINTAINER -> LABEL, ADD -> COPY. Der Rest braucht Handarbeit

FROM node:latest
LABEL maintainer="team@example.com"
COPY package.json .
COPY package-lock.json .
RUN apt-get update
RUN apt-get install -y curl wget git
RUN cd /app && npm install
WORKDIR app
COPY . .
CMD npm run start

Alle implementierten Regeln

DL3000Use absolute WORKDIR
DL3003Use WORKDIR, not RUN cd ...
DL3007Do not use the :latest tag
DL3008Pin versions in apt-get install
DL3009Delete the apt lists after installing
DL3015Avoid additional packages with --no-install-recommends
DL3018Pin versions in apk add
DL3020Use COPY instead of ADD for local files
DL3025Use JSON array syntax for CMD/ENTRYPOINT
DL3028Pin gem versions
DL3045COPY destination should end with a / when copying to a directory
DL3047wget without --progress emits noisy logs
DL3059Multiple consecutive RUN. Consider merging to reduce layers
DL4000MAINTAINER is deprecated. Use LABEL maintainer instead
DL4001Use either wget or curl, not both
DL4006Set SHELL with -o pipefail before using pipes in RUN
SC2086Quote shell variables to prevent word splitting
CUSTOM_USERContainer runs as root. Set USER to a non-root account
CUSTOM_HEALTHHEALTHCHECK is missing for long-running services
CUSTOM_DIGESTImage is not pinned by digest (@sha256:...) for reproducibility

Was dieser Linter macht

Ein Dockerfile, das technisch baut, ist nicht dasselbe wie ein Dockerfile, das ausgeliefert werden sollte. Das Image kann ein paar hundert MB apt-Cache-Reste mitziehen, die niemand nutzt. Es kann als root ohne HEALTHCHECK laufen, K8s erfaehrt also nie, dass der Container kaputt ist. Es kann `:latest`-Tags nutzen, die sich unter den Fuessen aendern. Es kann `ADD` nutzen, wo `COPY` sicherer waere. Nichts davon stoppt den Build, jedes Einzelne erzeugt in Produktion Schmerzen.

Dieser Linter laeuft hadolint-aehnliche Regeln im Browser. Dockerfile einfuegen, du bekommst eine Liste von Issues pro Zeile mit Rule-ID, Schweregrad, Beschreibung und einem Fix-Hinweis. Rund 20 Regeln aus dem Standard-hadolint-Katalog (`DL3000`, `DL3007`, `DL3008`, ...) plus ein paar Custom-Checks fuer fehlendes USER, fehlenden HEALTHCHECK und Image nicht per Digest gepinnt.

Alles laeuft client-seitig. Kein Upload, kein Build, kein Kontakt zum Docker-Daemon. Der Output ist die Art Feedback, die du von `hadolint Dockerfile` lokal bekommen wuerdest, nur im Browser-Tab.

So benutzt du es

Dein Dockerfile ins Input-Panel einfuegen oder eines der Beispiele oben waehlen, um das Output-Format zu sehen.
Die Error-/Warning-/Info-Zaehler oben rechts lesen. Klick auf ein Issue zeigt Zeilennummer und Fix-Hinweis. Jedes Issue traegt eine Rule-ID wie `DL3007`, mit der du die volle hadolint-Doku finden kannst.
Typische Warnungen, die der Linter flaggt: `:latest`-Tag (`DL3007`), `apt-get install` ohne gepinnte Versionen (`DL3008`) und **ohne `rm -rf /var/lib/apt/lists/*` (`DL3009`), `MAINTAINER` (deprecated, `DL4000`), `ADD` fuer lokale Dateien, wo `COPY` sicherer ist (`DL3020`), `CMD` in Shell-Form statt JSON-Exec-Form (`DL3025`), `RUN cd ...`** statt `WORKDIR` (`DL3003`).
Security-Checks: Container laeuft als root, wenn kein `USER` gesetzt ist, `privileged: true`-Patterns, Image nicht per Digest gepinnt, `HEALTHCHECK` fehlt in der finalen Stage.
Das "fixed"-Panel unter den Issues nutzen, um eine Best-Effort-Umschrift der einfachen Faelle zu sehen: `MAINTAINER` wird zu `LABEL maintainer`, `ADD` wird zu `COPY`, wenn die Quelle lokal ist. Komplexere Fixes (Versionspinning, HEALTHCHECK ergaenzen, RUN aufspalten) brauchen einen menschlichen Blick.
Im "fixed"-Panel Copy klicken, um die neugeschriebene Version zu greifen, oder Copy im Input-Panel, um das Original in die Zwischenablage zu legen.
Sagt der Linter "all clean", hast du ein Dockerfile, das den bekannten Best Practices folgt. Es kann projektspezifische Punkte geben (Image-Groesse, Layer-Reihenfolge fuer Build-Cache), aber die Basics sitzen.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen Dockerfile-Linting vor `docker build` echte Kopfschmerzen spart:

PR-Review eines Kollegen mit neuem Dockerfile. Der Linter gibt eine schnelle objektive Liste: Versionen pinnen, `:latest` weg, Cleanup ergaenzen, Non-Root-User. Code-Review konzentriert sich auf Logik, nicht auf jede typische Falle.
First-Pass-Cleanup eines Legacy-Dockerfiles. Viele alte Dockerfiles nutzen `MAINTAINER`, `ADD` fuer lokale Dateien, `apt-get install` ohne Cleanup und ein finales Image doppelt so gross wie noetig. Der Linter zeigt die schnellen Gewinne.
Image-Groesse optimieren. `DL3009` (apt-Cache-Cleanup) und `DL3015` (`--no-install-recommends`) koennen Images zusammen um 100+ MB schrumpfen. `DL3059` (aufeinanderfolgende RUNs zusammenfuehren) reduziert Layer, was im Massstab zaehlt.
Security-Pass. `CUSTOM_USER` flaggt jede Stage, die als root endet. Kombiniert mit `CUSTOM_HEALTH` fuer die finale Stage ist das die Minimum-Baseline vor dem Ausliefern.
Versionen fuer Reproduzierbarkeit pinnen. `DL3007` (kein `:latest`), `DL3008` (apt-Versionen), `DL3018` (apk-Versionen), `DL3028` (gem-Versionen), `CUSTOM_DIGEST` (Image per sha256). Zusammen machen sie Builds deterministisch.
Juniors lehren, was hadolint faengt. Die Rule-IDs mappen 1:1 auf den oeffentlichen hadolint-Katalog, jeder kann sie nachschlagen und die Begruendung lernen.
Schneller Browser-Check vor dem Push. `docker build` dauert Minuten; der Linter ist sofort. Schnelle Feedback-Schleife beim Iterieren am Dockerfile.

Fragen und Antworten

hadolint ist der Standard-Open-Source-Dockerfile-Linter in Haskell. Er nutzt ShellCheck unter der Haube fuer Shell-Analyse in `RUN`. Dieses Tool implementiert die 20 haeufigsten Regeln mit denselben Rule-IDs (du kannst sie im hadolint-Katalog finden), laeuft vollstaendig im Browser, kein Install. Fuer volle ShellCheck-Qualitaet und 60+ Regeln echtes hadolint lokal installieren und in CI nutzen.

Das könnte auch passen

Passende Tools

Docker-Compose-Builder

docker-compose.yml visuell zusammenklicken: Services, Volumes, Netzwerke, Env.

Kubernetes-YAML-Validator

Kubernetes-Manifeste (auch Multi-Doc) prüfen: Fehler, Warnungen und Hinweise zu matchLabels, targetPort, :latest, fehlenden Limits, privileged.

GitHub-Actions-YAML-Builder

GitHub Actions Workflow visuell zusammenstellen: Trigger, Jobs, Steps.

GitLab-CI-YAML-Builder

GitLab .gitlab-ci.yml visuell zusammenklicken: Stages, Jobs, Rules.

.editorconfig-Generator

.editorconfig für dein Projekt visuell zusammenklicken.

Nginx-Config-Snippet-Builder

Funktionierenden nginx-Server-Block in 5 Modi zusammenklicken: Static, Reverse-Proxy, Redirect, Subdomain, Load Balancer.

FROM node:latest LABEL maintainer="team@example.com" COPY package.json . COPY package-lock.json . RUN apt-get update RUN apt-get install -y curl wget git RUN cd /app && npm install WORKDIR app COPY . . CMD npm run start

Was dieser Linter macht

Alles laeuft client-seitig. Kein Upload, kein Build, kein Kontakt zum Docker-Daemon. Der Output ist die Art Feedback, die du von `hadolint Dockerfile` lokal bekommen wuerdest, nur im Browser-Tab.

So benutzt du es

Dein Dockerfile ins Input-Panel einfuegen oder eines der Beispiele oben waehlen, um das Output-Format zu sehen.

Die Error-/Warning-/Info-Zaehler oben rechts lesen. Klick auf ein Issue zeigt Zeilennummer und Fix-Hinweis. Jedes Issue traegt eine Rule-ID wie `DL3007`, mit der du die volle hadolint-Doku finden kannst.

Typische Warnungen, die der Linter flaggt: `:latest`-Tag (`DL3007`), `apt-get install` ohne gepinnte Versionen (`DL3008`) und **ohne `rm -rf /var/lib/apt/lists/*` (`DL3009`), `MAINTAINER` (deprecated, `DL4000`), `ADD` fuer lokale Dateien, wo `COPY` sicherer ist (`DL3020`), `CMD` in Shell-Form statt JSON-Exec-Form (`DL3025`), `RUN cd ...`** statt `WORKDIR` (`DL3003`).

Security-Checks: Container laeuft als root, wenn kein `USER` gesetzt ist, `privileged: true`-Patterns, Image nicht per Digest gepinnt, `HEALTHCHECK` fehlt in der finalen Stage.

Das "fixed"-Panel unter den Issues nutzen, um eine Best-Effort-Umschrift der einfachen Faelle zu sehen: `MAINTAINER` wird zu `LABEL maintainer`, `ADD` wird zu `COPY`, wenn die Quelle lokal ist. Komplexere Fixes (Versionspinning, HEALTHCHECK ergaenzen, RUN aufspalten) brauchen einen menschlichen Blick.

Im "fixed"-Panel Copy klicken, um die neugeschriebene Version zu greifen, oder Copy im Input-Panel, um das Original in die Zwischenablage zu legen.

Sagt der Linter "all clean", hast du ein Dockerfile, das den bekannten Best Practices folgt. Es kann projektspezifische Punkte geben (Image-Groesse, Layer-Reihenfolge fuer Build-Cache), aber die Basics sitzen.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen Dockerfile-Linting vor `docker build` echte Kopfschmerzen spart:

PR-Review eines Kollegen mit neuem Dockerfile. Der Linter gibt eine schnelle objektive Liste: Versionen pinnen, `:latest` weg, Cleanup ergaenzen, Non-Root-User. Code-Review konzentriert sich auf Logik, nicht auf jede typische Falle.
First-Pass-Cleanup eines Legacy-Dockerfiles. Viele alte Dockerfiles nutzen `MAINTAINER`, `ADD` fuer lokale Dateien, `apt-get install` ohne Cleanup und ein finales Image doppelt so gross wie noetig. Der Linter zeigt die schnellen Gewinne.
Image-Groesse optimieren. `DL3009` (apt-Cache-Cleanup) und `DL3015` (`--no-install-recommends`) koennen Images zusammen um 100+ MB schrumpfen. `DL3059` (aufeinanderfolgende RUNs zusammenfuehren) reduziert Layer, was im Massstab zaehlt.
Security-Pass. `CUSTOM_USER` flaggt jede Stage, die als root endet. Kombiniert mit `CUSTOM_HEALTH` fuer die finale Stage ist das die Minimum-Baseline vor dem Ausliefern.
Versionen fuer Reproduzierbarkeit pinnen. `DL3007` (kein `:latest`), `DL3008` (apt-Versionen), `DL3018` (apk-Versionen), `DL3028` (gem-Versionen), `CUSTOM_DIGEST` (Image per sha256). Zusammen machen sie Builds deterministisch.
Juniors lehren, was hadolint faengt. Die Rule-IDs mappen 1:1 auf den oeffentlichen hadolint-Katalog, jeder kann sie nachschlagen und die Begruendung lernen.
Schneller Browser-Check vor dem Push. `docker build` dauert Minuten; der Linter ist sofort. Schnelle Feedback-Schleife beim Iterieren am Dockerfile.

Fragen und Antworten