Установка линтеров глобально через npm несёт риск из-за множества зависимостей.
Запуск линтера в контейнере Docker без сети сокращает поверхность атаки.
Ограничение доступа: только чтение файлов в текущей директории через монтирование ro.
Пример Dockerfile для htmlhint: без сети, read-only монтирование, установка через npm.
Аналогичный подход для golangci-lint: запуск в Docker с флагами --network=none и монтированием.
Можно использовать read/write монтирование для инструментов форматирования с возможностью изменения файлов.
Рекомендуется применять этот метод в GitHub Actions для повышения безопасности процессов CI.
Get notified when new stories are published for "Hacker News 🇷🇺 Русский"