以前使用wagoodman/dive分析镜像优化空间,每次生成镜像之后自己执行命令过于麻烦,后来就diving-rs可以通过 webhook 的形式触发分析,再记录到数据库中定期分析。
但用着用着发现两件事:
1 、需要人工参与的工作一直都会滞后,甚于变成了形式工程(只记录无人分析) 2 、每个人对标准不一致,也没有统一的数据作为指标,最终也无法保证规则得到有效执行
刚好赶上小米开放百万亿 token 的免费额度,懒人福音。把"人盯报告"换成"AI 盯报告":每次新 push ,把这次的 diving 报告 + 上次成功的 LLM 结论一起喂给模型,让它做对比分析。
系统 prompt 写得比较简单(后续提供自定义),核心几条:
- 表现良好的指标(体积减小、浪费率 0%、非 root )禁止提及,不要废话
- 体积劣化必须穿透到具体 Layer + 具体文件,精确到 MB
- OverlayFS 穿透判定:基础镜像的固化冗余禁止建议跨层
RUN rm -rf(那只会让镜像更大),只建议换基底- 新增
COPY/ADD文件 owner 是否与USER倒挂
加上"无异常就回一句健康通过;有异常就只说问题 + 改哪几行"的硬约束,输出基本没什么水分。
Docker Hub Webhook --> ai-diving (入队 + dedupe) --> cron 每分钟抢一批 WAITING diving-rs (拉镜像 / 出 markdown) + 上次成功的 LLM --> 优化建议 markdown --> 企业微信机器人 / Resend 邮件
完成后大概是这样的报告(示例):
COPY 指令引入的 static-serve、entrypoint.sh、httpstat 文件所有权 (Owner 0:0 即 root) 与镜像运行时用户 (ubuntu) 存在权限倒挂,违反最小权限原则。USER ubuntu 指令前增加以下指令以修正文件所有权:RUN chown ubuntu:ubuntu /usr/local/bin/static-serve /usr/local/bin/httpstat /entrypoint.sh
COPY 指令时直接指定所有者(推荐):COPY --chown=ubuntu:ubuntu /static/target/release/static-serve /usr/local/bin/static-serve
COPY --chown=ubuntu:ubuntu /static/entrypoint.sh /entrypoint.sh
COPY --chown=ubuntu:ubuntu /usr/local/bin/httpstat /usr/local/bin/httpstat
下次镜像稳定了再 push ,LLM 自己会回"与上次结论一致",静默不打扰。
求拍砖、提 issue 、提建议。如果你也有"不依赖 docker daemon 的镜像分析"需求,diving-rs 拎出来单用也行。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.