Que veulent dire les rule IDs comme DL3007 ?

Le préfixe est la **famille** : `DL` pour les règles Dockerfile hadolint, `SC` pour les règles ShellCheck. Le nombre est le **numéro de règle** dans le catalogue public. `DL3007` c'est "Do not use the :latest tag". `SC2086` c'est "Quote shell variables to prevent word splitting". Chercher un ID sur les repos GitHub hadolint ou ShellCheck donne la description complète, le rationale, et les exemples.

Pourquoi :latest est-il spécifiquement un problème ?

Parce que **:latest est une cible mouvante**. `FROM node:latest` build avec quelle que soit la version Node taguée latest au moment du build. Trois mois plus tard l'image rebuild (cache CI invalidé, refresh image de base, n'importe quoi) et Node 22 est maintenant Node 24 avec des changements cassants. Épinglez à une **version spécifique** comme `node:20.11-alpine`, ou mieux, un **digest** comme `node:20.11-alpine@sha256:abc...` pour une reproductibilité complète. Compromis : un digest demande des bumps manuels.

apt-get install + cleanup, pourquoi sur un seul RUN ?

Parce que **chaque instruction `RUN` est un layer séparé**. Layer 1 install les packages -> 200 Mo. Layer 2 supprime `/var/lib/apt/lists` -> 0 Mo, mais le **layer 1 livre encore les 200 Mo**. Les layers Docker sont append-only ; vous ne pouvez pas retirer du contenu dans un layer plus tard. Le pattern est donc **install + clean dans un RUN** : `RUN apt-get update && apt-get install -y --no-install-recommends curl=1.2 && rm -rf /var/lib/apt/lists/*`. Les 200 Mo n'entrent jamais dans un layer.

Pourquoi ADD est considéré pire que COPY ?

Parce qu'**ADD a de la magie cachée**. Il fait trois choses : copier les fichiers locaux (comme COPY), récupérer depuis des URLs (parfois utile, souvent inattendu), et auto-extraire les tarballs (`ADD foo.tar.gz /app/` l'extrait). L'auto-extract surprend les gens. **COPY** fait une chose prévisiblement. Hadolint dit : utilisez COPY pour les fichiers locaux (`DL3020`) ; ne dégainez ADD que quand vous voulez vraiment un fetch URL ou un extract tarball. Le fix dans ce linter réécrit `ADD` en `COPY` seulement quand le chemin est local.

CMD forme shell vs forme exec, quelle est la différence ?

**Forme shell** : `CMD npm run start`. Docker l'enveloppe dans `/bin/sh -c "npm run start"`. Le vrai PID 1 est le **shell**, pas votre app. Le shell **ne forwarde pas les signaux** à votre enfant, donc `docker stop` envoie SIGTERM au shell, qui souvent l'ignore. Le conteneur prend 10 secondes (le timeout de stop par défaut) à mourir. **Forme exec** : `CMD ["npm", "run", "start"]`. Votre app est PID 1 directement, les signaux l'atteignent. Le shutdown gracieux marche vraiment. Préférez toujours la forme exec (`DL3025`).

Pourquoi tourner en root compte ?

Trois raisons. **Un**, défense en profondeur : s'il y a une vulnérabilité dans votre app, root à l'intérieur du conteneur peut s'évader plus vite (pensez aux CVEs dans les vieilles versions de runc). **Deux**, les Pod Security Standards Kubernetes rejettent root par défaut en mode restricted ; beaucoup d'organisations tournent avec ça. **Trois**, les permissions de fichiers sont confuses quand votre app écrit en root et quelqu'un d'autre lit en utilisateur normal (volume mounts). Ajoutez `USER 65532:65532` (ou un user nommé créé avec `adduser`) vers la fin du Dockerfile, puis assurez-vous que les chemins où votre app écrit sont writable par ce UID.

À quoi sert HEALTHCHECK ?

HEALTHCHECK est une commande que Docker lance périodiquement pour demander "le conteneur est-il prêt ?". Sortie : `healthy` / `unhealthy`. Docker expose ce statut aux **orchestrateurs** : `docker compose up --wait` attend le healthy ; Kubernetes peut utiliser un mécanisme similaire via les probes ; Swarm reschedule les tâches unhealthy. Sans HEALTHCHECK, le conteneur est juste "running", ce qui n'est pas la même chose que "prêt à accepter du travail". Ajoutez-en un pour les services long-vivants : `HEALTHCHECK --interval=30s --timeout=5s CMD wget -q --spider http://localhost:3000/health || exit 1`.

Pourquoi se donner la peine d'épingler par digest ?

Parce qu'**un tag est un label, un digest est le contenu**. Même `node:20.11-alpine` peut être **republié** avec un contenu différent (fix sécu, mise à jour du layer de base). La plupart du temps le changement est bienvenu, mais dans les environnements régulés ou pour la reproductibilité forensique, vous voulez `node:20.11-alpine@sha256:abc...`. Après épinglage, la seule manière dont le contenu de l'image change c'est si vous bumpez le digest dans le Dockerfile et rebuildez. Compromis : vous devez vous souvenir de mettre à jour pour les fixes sécu (utilisez un outillage automatique comme Renovate).

Le linter peut-il reformater mon Dockerfile entier ?

**Partiellement.** Les substitutions simples sont automatiques : `MAINTAINER` devient `LABEL maintainer`, `ADD` devient `COPY` quand la source est un chemin local. Les changements complexes ont besoin d'un humain : épingler les versions demande de choisir la bonne version, merger les RUN demande de comprendre les dépendances, ajouter HEALTHCHECK demande de savoir quoi probe. Utilisez le panneau "fixed" comme point de départ, puis appliquez le reste des suggestions à la main.

Linter Dockerfile - gratuit

ExemplesClique pour charger

Dockerfile

Colle le contenu de ton Dockerfile

11 lignes

Erreurs

Avertissements

Info

Problèmes

DL3007 · line 1
FROM uses :latest tag (node:latest)
Fix: Pin to an explicit version, e.g. `node:20.11-alpine`, or even better, a digest
CUSTOM_DIGEST · line 1
Image node:latest is not pinned by digest
Fix: For maximal reproducibility, pin to a digest: `image:tag@sha256:...`. Trade-off: harder to update
CUSTOM_USER · line 1
Stage (default) never sets USER, will run as root
Fix: Add `USER 65532:65532` (or a named user) toward the end of the build stage
CUSTOM_HEALTH · line 1
Final stage has no HEALTHCHECK
Fix: Add a `HEALTHCHECK CMD ...` so Docker can mark unhealthy containers and other tooling can wait for ready
DL4000 · line 2
MAINTAINER is deprecated since Docker 1.13
Fix: Replace with `LABEL maintainer="name <email>"`
DL3020 · line 3
ADD is used for a local file, use COPY instead
Fix: COPY is preferred for local files. ADD has surprising behavior (auto-extract, URL fetch)
DL3020 · line 4
ADD is used for a local file, use COPY instead
Fix: COPY is preferred for local files. ADD has surprising behavior (auto-extract, URL fetch)
DL3008 · line 6
apt-get install has unpinned versions: curl, wget, git
Fix: Pin versions: `apt-get install -y package=1.2.3`. Build reproducibility depends on this
DL3015 · line 6
apt-get install without --no-install-recommends
Fix: Add `--no-install-recommends` to skip optional dependencies and shrink the image
DL3009 · line 6
apt-get install without cleanup
Fix: Add `&& rm -rf /var/lib/apt/lists/*` at the end of the RUN to delete cached package lists
DL3047 · line 6
wget without --progress (or -q) emits noisy logs
Fix: Use `wget --progress=dot:giga` or `wget -q` to keep the build log clean
DL4001 · line 6
Both wget and curl are used
Fix: Pick one. Mixing both adds an unnecessary package and a few MB to the image
DL3059 · line 6
Multiple consecutive RUN instructions
Fix: Each RUN is a new layer. Merge with `&&` and `\` line continuations to reduce image size
DL3003 · line 7
RUN cd ... is brittle, use WORKDIR
Fix: Each RUN starts a fresh shell. `cd` does not persist across instructions. Use `WORKDIR /path` instead
DL3059 · line 7
Multiple consecutive RUN instructions
Fix: Each RUN is a new layer. Merge with `&&` and `\` line continuations to reduce image size
DL3000 · line 8
WORKDIR uses a relative path (app)
Fix: Use an absolute path, e.g. `WORKDIR /app`
DL3025 · line 10
CMD should use the JSON array form
Fix: Use the exec form: `CMD ["bin", "arg1", "arg2"]`. The shell form (string) forks a /bin/sh that does not forward signals

Version corrigée au mieux

Substitutions simples : MAINTAINER -> LABEL, ADD -> COPY. Le reste demande des éditions à la main

FROM node:latest
LABEL maintainer="team@example.com"
COPY package.json .
COPY package-lock.json .
RUN apt-get update
RUN apt-get install -y curl wget git
RUN cd /app && npm install
WORKDIR app
COPY . .
CMD npm run start

Toutes les règles implémentées

DL3000Use absolute WORKDIR
DL3003Use WORKDIR, not RUN cd ...
DL3007Do not use the :latest tag
DL3008Pin versions in apt-get install
DL3009Delete the apt lists after installing
DL3015Avoid additional packages with --no-install-recommends
DL3018Pin versions in apk add
DL3020Use COPY instead of ADD for local files
DL3025Use JSON array syntax for CMD/ENTRYPOINT
DL3028Pin gem versions
DL3045COPY destination should end with a / when copying to a directory
DL3047wget without --progress emits noisy logs
DL3059Multiple consecutive RUN. Consider merging to reduce layers
DL4000MAINTAINER is deprecated. Use LABEL maintainer instead
DL4001Use either wget or curl, not both
DL4006Set SHELL with -o pipefail before using pipes in RUN
SC2086Quote shell variables to prevent word splitting
CUSTOM_USERContainer runs as root. Set USER to a non-root account
CUSTOM_HEALTHHEALTHCHECK is missing for long-running services
CUSTOM_DIGESTImage is not pinned by digest (@sha256:...) for reproducibility

Ce que fait ce linter

Un Dockerfile qui buildent techniquement n'est pas le même qu'un Dockerfile qui devrait être livré. L'image peut avoir quelques centaines de Mo de cache apt résiduel que personne n'utilise. Elle peut tourner en root sans HEALTHCHECK, K8s ne sait donc jamais que le conteneur est cassé. Elle peut utiliser des tags `:latest` qui changent sous vos pieds. Elle peut utiliser `ADD` là où `COPY` serait plus sûr. Aucun de ces points n'arrête le build, mais chacun cause de la douleur en production.

Ce linter lance des règles style hadolint dans votre navigateur. Collez votre Dockerfile et vous obtenez une liste d'issues par ligne avec rule ID, gravité, description, et un indice de fix. Environ 20 règles du catalogue standard hadolint (`DL3000`, `DL3007`, `DL3008`, ...) plus quelques vérifs custom pour USER non réglé, HEALTHCHECK manquant, et image non épinglée par digest.

Tout tourne côté client. Pas d'upload, pas de build, pas de contact avec le daemon Docker. La sortie est le même type de feedback que vous obtiendriez en lançant `hadolint Dockerfile` localement, juste dans l'onglet du navigateur.

Mode d'emploi

Collez votre Dockerfile dans le panneau d'entrée, ou choisissez un des exemples en haut pour voir le format de sortie.

Lisez les compteurs erreur / avertissement / info en haut à droite. Cliquez sur n'importe quelle issue pour voir le numéro de ligne et l'indice de fix. Chaque issue porte un rule ID comme `DL3007` que vous pouvez chercher pour la doc hadolint complète.

Avertissements courants que le linter flague : tag `:latest` (`DL3007`), `apt-get install` sans versions épinglées (`DL3008`) et **sans `rm -rf /var/lib/apt/lists/*` (`DL3009`), `MAINTAINER` qui est déprécié (`DL4000`), `ADD` pour les fichiers locaux où `COPY` est plus sûr (`DL3020`), `CMD` en forme shell au lieu de forme exec JSON (`DL3025`), `RUN cd ...`** au lieu de `WORKDIR` (`DL3003`).

Vérifs sécurité : conteneur tourne en root quand aucun `USER` n'est réglé, patterns style `privileged: true`, image non épinglée par digest, `HEALTHCHECK` manquant sur le stage final.

Utilisez le panneau "fixed" sous les issues pour voir une réécriture best-effort des cas simples : `MAINTAINER` devient `LABEL maintainer`, `ADD` devient `COPY` quand la source est locale. Les fixes plus complexes (épinglage versions, ajout HEALTHCHECK, splitting RUN) ont besoin d'une lecture humaine.

Cliquez sur Copier sur le panneau "fixed" pour attraper la version réécrite, ou Copier sur le panneau d'entrée pour mettre l'original dans votre presse-papiers.

Quand le linter dit "tout propre", vous avez un Dockerfile qui suit les bonnes pratiques bien connues. Il peut encore y avoir des choses spécifiques au projet à corriger (taille d'image, ordre des layers pour le cache de build), mais les basiques sont couverts.

Quand cet outil est utile

Sept situations concrètes où linter un Dockerfile avant `docker build` évite de vrais mal de têtes :

Reviewer la PR d'un collègue avec un nouveau Dockerfile. Le linter donne une liste rapide objective : épingler les versions, virer `:latest`, ajouter le cleanup, ajouter un user non-root. La revue de code focalisée sur la logique, pas sur chaque écueil courant.
Nettoyage premier-passage d'un Dockerfile legacy. Beaucoup de vieux Dockerfiles utilisent `MAINTAINER`, `ADD` pour les fichiers locaux, `apt-get install` sans cleanup, et une image finale deux fois plus grosse qu'elle pourrait. Le linter highlight les gains faciles.
Optimiser la taille d'image. `DL3009` (cleanup apt list) et `DL3015` (`--no-install-recommends`) ensemble peuvent rétrécir les images de 100+ Mo. `DL3059` (merger les RUN consécutifs) réduit le nombre de layers ce qui compte à l'échelle.
Passe sécurité. `CUSTOM_USER` flague chaque stage qui finit en root. Combiné avec `CUSTOM_HEALTH` pour le stage final, c'est les vérifs baseline minimum pour hardener avant de livrer.
Épingler les versions pour la reproductibilité. `DL3007` (pas de `:latest`), `DL3008` (versions apt), `DL3018` (versions apk), `DL3028` (versions gem), `CUSTOM_DIGEST` (image par sha256). Ensemble ils rendent les builds déterministes.
Enseigner aux juniors ce qu'hadolint attrape. Les rule IDs mappent 1:1 sur le catalogue hadolint public pour que quiconque puisse les chercher et apprendre le raisonnement derrière chaque règle.
Vérif rapide dans le navigateur avant de push. `docker build` prend des minutes ; le linter est instantané. Boucle de feedback rapide pendant l'itération sur le Dockerfile.

Questions fréquentes

hadolint est le linter Dockerfile open-source standard écrit en Haskell. Il utilise ShellCheck en coulisses pour l'analyse de commande shell à l'intérieur de `RUN`. Cet outil implémente les 20 règles les plus courantes avec les mêmes rule IDs (pour que vous puissiez les chercher dans le catalogue hadolint), tourne entièrement dans le navigateur, pas d'install. Pour l'analyse shell qualité ShellCheck complète et 60+ règles, installez le vrai hadolint localement et utilisez-le en CI.

FROM node:latest LABEL maintainer="team@example.com" COPY package.json . COPY package-lock.json . RUN apt-get update RUN apt-get install -y curl wget git RUN cd /app && npm install WORKDIR app COPY . . CMD npm run start

Ce que fait ce linter

Mode d'emploi

Collez votre Dockerfile dans le panneau d'entrée, ou choisissez un des exemples en haut pour voir le format de sortie.

Cliquez sur Copier sur le panneau "fixed" pour attraper la version réécrite, ou Copier sur le panneau d'entrée pour mettre l'original dans votre presse-papiers.

Quand cet outil est utile

Sept situations concrètes où linter un Dockerfile avant `docker build` évite de vrais mal de têtes :

Reviewer la PR d'un collègue avec un nouveau Dockerfile. Le linter donne une liste rapide objective : épingler les versions, virer `:latest`, ajouter le cleanup, ajouter un user non-root. La revue de code focalisée sur la logique, pas sur chaque écueil courant.
Nettoyage premier-passage d'un Dockerfile legacy. Beaucoup de vieux Dockerfiles utilisent `MAINTAINER`, `ADD` pour les fichiers locaux, `apt-get install` sans cleanup, et une image finale deux fois plus grosse qu'elle pourrait. Le linter highlight les gains faciles.
Optimiser la taille d'image. `DL3009` (cleanup apt list) et `DL3015` (`--no-install-recommends`) ensemble peuvent rétrécir les images de 100+ Mo. `DL3059` (merger les RUN consécutifs) réduit le nombre de layers ce qui compte à l'échelle.
Passe sécurité. `CUSTOM_USER` flague chaque stage qui finit en root. Combiné avec `CUSTOM_HEALTH` pour le stage final, c'est les vérifs baseline minimum pour hardener avant de livrer.
Épingler les versions pour la reproductibilité. `DL3007` (pas de `:latest`), `DL3008` (versions apt), `DL3018` (versions apk), `DL3028` (versions gem), `CUSTOM_DIGEST` (image par sha256). Ensemble ils rendent les builds déterministes.
Enseigner aux juniors ce qu'hadolint attrape. Les rule IDs mappent 1:1 sur le catalogue hadolint public pour que quiconque puisse les chercher et apprendre le raisonnement derrière chaque règle.
Vérif rapide dans le navigateur avant de push. `docker build` prend des minutes ; le linter est instantané. Boucle de feedback rapide pendant l'itération sur le Dockerfile.

Questions fréquentes

Linter Dockerfile

Ce que fait ce linter

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder docker-compose

Validateur YAML Kubernetes

Builder YAML GitHub Actions

Builder YAML GitLab CI

Générateur .editorconfig

Builder config Nginx

Linter Dockerfile

Ce que fait ce linter

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder docker-compose

Validateur YAML Kubernetes

Builder YAML GitHub Actions

Builder YAML GitLab CI

Générateur .editorconfig

Builder config Nginx