📦 Devcontainer — 开发容器
v1.0.0Validator 在 VS Code Dev Container 中校验 devcontainer.json 文件的语法、结构、features、端口、生命周期脚本、自定义项及安全最佳实践。
0· 7·0 当前·0 累计
by 下载技能包
最后更新
2026/4/21
安全扫描
OpenClaw
安全
medium confidence该技能内部一致:一个本地、纯 Python 的 devcontainer.json 验证器,无需凭证、不安装任何依赖,说明与代码相符;但提供的源码被截断,无法逐行完成完整审计。
评估建议
该技能似乎是一个用纯 Python 实现的、简洁的本地 devcontainer.json 验证器,与文档保持一致。在敏感环境中安装或运行前,请:(1) 完整审阅 scripts/devcontainer_validator.py(此处源码被截断),确认无意外网络调用、subprocess.exec 调用或遥测;(2) 在本地或隔离 CI 容器中对示例文件进行测试;(3) 若计划授予其访问仓库或流水线制品的权限,确保这些环境遵循最小权限原则。如能提供脚本缺失部分,我可在完整审阅后将置信度提升至 high。...详细分析 ▾
✓ 用途与能力
名称/描述(devcontainer.json validation)与附带的 SKILL.md 及 Python 脚本一致:验证器实现了结构、特性、端口、生命周期、自定义及最佳实践检查。无需额外二进制文件/环境/配置,符合本地 linter 的简洁要求。
✓ 指令范围
运行时指令仅要求代理针对 devcontainer.json 文件运行所含脚本,并使用 --format/--strict 等标志;SKILL.md 不会引导读取无关文件、收集密钥或将结果发布到外部端点。
✓ 安装机制
无安装说明(仅提供指令并附带一个 Python 脚本)。该脚本面向 Python 3.8+,仅使用 stdlib 导入(argparse、json、os、re、sys),与 SKILL.md 的声明一致;除运行脚本外,不会下载或写入任何外部内容。
✓ 凭证需求
该技能未声明任何必需的环境变量、凭据或配置路径,且可见代码未访问外部密钥。这适用于本地验证工具。
✓ 持久化与权限
该 skill 未被强制包含(always: false),也未请求持久化或跨 skill 配置。默认允许自主调用,但不与其他权限问题合并。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/21
- 初始版本:验证 VS Code Dev Containers、GitHub Codespaces 与 DevPod 的 devcontainer.json 文件 - 检查结构、features、端口/网络、生命周期脚本、自定义项及最佳实践 - 强制执行 24+ 条规则,覆盖常见错误与安全隐患,每类规则清晰分类 - 支持 text、JSON 及单行摘要输出格式,可自定义严重级别过滤 - 提供专用命令:完整验证、仅结构、仅 features、仅安全 - 退出码区分成功、发现错误、文件/解析异常 - 仅需 Python 3.8+,无外部依赖
● 无害
安装命令
点击复制官方npx clawhub@latest install devcontainer-validator
镜像加速npx clawhub@latest install devcontainer-validator --registry https://cn.longxiaskill.com
技能文档
校验 VS Code Dev Containers、GitHub Codespaces 与 DevPod 的 devcontainer.json 文件。
功能
检查devcontainer.json(支持 JSONC 注释与尾随逗号)在六个方面的常见错误:
- 结构 — 必填字段、image/dockerFile/dockerComposeFile 冲突、未知键
- Features — OCI 引用格式、重复项、空选项
- 端口与网络 — forwardPorts 格式、端口范围、portsAttributes 一致性
- 生命周期脚本 — 命令类型、空命令、shell 注入模式
- 自定义 — VS Code 扩展格式、设置类型、扩展 ID 校验
- 最佳实践 — remoteUser、privileged 模式、workspaceFolder、危险 capabilities
规则(24+)
| 类别 | 规则 | 示例 | |------|------|------| | 结构(6) | 无效 JSONC 语法、缺失镜像源、未知顶级键、空 name、image+dockerFile 冲突、dockerFile+compose 冲突 | 同时设置"image": "...", "dockerFile": "..." |
| Features(4) | 无效 features 格式、feature ID 非有效 OCI 引用、空 feature 选项、重复 features | "features": ["go"](应为对象) |
| 端口与网络(4) | forwardPorts 非数组、无效端口号、端口越界、portsAttributes 引用未列出端口 | "forwardPorts": [99999] |
| 生命周期脚本(4) | 无效命令类型、空命令、shell 注入模式、onCreateCommand 使用提示 | "postCreateCommand": "" |
| 自定义(3) | extensions 非字符串数组、无效扩展 ID 格式、settings 非对象 | "extensions": [123] |
| 最佳实践(3+) | 缺失 remoteUser(root 警告)、privileged: true、缺失 workspaceFolder、危险 capAdd 项 | "capAdd": ["SYS_ADMIN"] | 输出格式
- text — 人类可读,带严重性标签([E] [W] [I])
- json — 结构化,含统计摘要
- summary — 单行 PASS/WARN/FAIL
退出码
0— 无错误(允许警告/信息)1— 发现错误(或--strict下任何 issue)2— 文件未找到或解析错误
命令
validate
全规则校验。 ``bash
python3 scripts/devcontainer_validator.py validate devcontainer.json
python3 scripts/devcontainer_validator.py validate --format json .devcontainer/devcontainer.json
python3 scripts/devcontainer_validator.py validate --strict devcontainer.json
` structure
仅校验结构规则(必填字段、冲突、未知键)。
`bash
python3 scripts/devcontainer_validator.py structure devcontainer.json
` features
仅校验 features 段。
`bash
python3 scripts/devcontainer_validator.py features devcontainer.json
` security
仅校验安全相关规则(privileged、capAdd、shell 注入、remoteUser)。
`bash
python3 scripts/devcontainer_validator.py security --strict devcontainer.json
` 选项
| 选项 | 取值 | 默认 | 说明 |
|------|------|------|------|
| --format | text, json, summary | text | 输出格式 |
| --min-severity | error, warning, info | info | 最低严重性过滤 |
| --strict | 标记 | 关 | 任何 issue 即退出 1 | 依赖
- Python 3.8+(纯标准库,零第三方依赖)
示例
`bash
# 快速检查
python3 scripts/devcontainer_validator.py validate devcontainer.json # CI 流水线
python3 scripts/devcontainer_validator.py validate --strict --format summary devcontainer.json
# 仅安全审计
python3 scripts/devcontainer_validator.py security --format json devcontainer.json
# 过滤噪音
python3 scripts/devcontainer_validator.py validate --min-severity warning devcontainer.json
``