GitLab栈验证器 - 自动检测部署配置问题，确保架构合规与安全

GitLab Stack Validator by rknall/claude-skills

34 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/rknall/claude-skills --skill 'GitLab Stack Validator'

自动化代码质量开发运维

🇨🇳中文介绍

GitLab Stack 验证器

此技能用于验证 GitLab 栈项目，确保其遵循正确的架构模式并已做好部署准备。它侧重于问题的检测和报告，并与配套技能（stack-creator、secrets-manager）协同工作以进行修复。

何时使用此技能

当用户请求以下内容时激活此技能：

验证 GitLab 栈项目
部署前检查栈配置
验证栈架构和结构
审计栈是否符合最佳实践
确保栈遵循正确的模式
部署前验证检查
栈健康检查或就绪验证

核心验证原则

此技能验证遵循以下架构原则的栈：

配置管理：所有配置通过 docker-compose.yml 和 ./config 目录进行
密钥管理：密钥存储在 ./secrets 中并通过 Docker secrets 引用
环境变量：存在 .env 文件，并配有匹配的 .env.example 模板
最小化自定义脚本：仅当容器不支持原生密钥时使用 docker-entrypoint.sh
正确的所有权：没有 root 拥有的文件（所有文件归 Docker 用户所有）
临时文件：使用 _temporary 目录存放临时文件，使用后清理
Docker 最佳实践：利用 docker-validation 技能进行 Docker 特定检查

验证工作流程

当用户请求栈验证时，请遵循此综合工作流程：

阶段 1：预检

步骤 1：验证栈项目

检查当前目录是否看起来是一个栈项目
寻找关键指标：
- 存在 docker-compose.yml
- 存在 ./config、./secrets 或 ./_temporary 目录
- 存在 .env 文件

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

阶段 2：目录结构验证

步骤 1：必需目录

检查必需目录：
- ./config - 配置文件目录
- ./secrets - 密钥存储目录
- ./_temporary - 临时文件目录
对于每个缺失的目录，记录：
- 目录名称
- 用途及为何必需
- 对栈功能的影响

步骤 2：目录权限

检查 ./secrets 具有受限权限（700 或 600）
验证其他目录具有适当的权限
报告任何具有安全影响的权限问题

步骤 3：目录所有权

扫描所有项目目录的所有权
标记任何 root 拥有的目录：
- 目录路径
- 当前所有者
- 预期所有者（当前用户或 docker 用户）
标记任何具有意外所有权的文件

步骤 4：.gitignore 验证

检查 .gitignore 是否存在
验证它排除了：
- ./secrets 或 ./secrets/*
- ./_temporary 或 ./_temporary/*
- .env（不应在 git 中）
报告缺失的排除项及其安全影响

阶段 3：环境变量验证

步骤 1：.env 文件验证

检查 .env 文件是否存在
解析 .env 文件以查找：
- 语法错误
- 重复的变量定义
- 可能为必需的空值
记录找到的所有环境变量名称

步骤 2：.env.example 验证

检查 .env.example 是否存在
如果缺失，这是一个关键问题 - 记录为何需要它
解析 .env.example 以获取变量名称

步骤 3：.env 同步检查

比较 .env 和 .env.example 中的变量：
- 在 .env 中但不在 .env.example 中的变量
- 在 .env.example 中但不在 .env 中的变量
这是一个关键验证点 - 它们必须匹配
报告任何不匹配的特定变量名称

步骤 4：环境变量安全性

扫描 .env 以查找潜在密钥：
- 名称包含以下内容的变量：password、secret、key、token、api
- 看起来像 Base64 编码的值
- 长随机字符串
如果在 .env 中检测到密钥，标记为安全问题
建议移至 ./secrets 并使用 Docker secrets

阶段 4：Docker 配置验证

步骤 1：调用 docker-validation 技能

使用 docker-validation 技能验证：
- docker-compose.yml 语法和最佳实践
- Dockerfile（如果存在）
- 多阶段构建
- 安全配置
收集来自 docker-validation 的所有发现
整合到整体栈验证报告中

步骤 2：栈特定 Docker 检查

审查 docker-compose.yml 的栈模式：
- 密钥在顶层 secrets: 部分定义
- 服务通过 secrets: 键引用密钥（而非环境变量）
- 卷挂载遵循模式（./config、./secrets、./_temporary）
- 如果是多服务，网络正确定义
- 服务依赖项正确使用 depends_on

步骤 3：版本检查

确保 docker-compose.yml 顶部没有 version 字段
这遵循现代 Docker Compose 规范
如果存在 version 字段，标记为需要移除

阶段 5：密钥管理验证

步骤 1：密钥目录检查

验证 ./secrets 目录存在
检查权限是否受限（700）
验证它被 git 排除

步骤 2：Docker 密钥验证

解析 docker-compose.yml 以获取密钥定义
对于每个密钥定义：
- 验证密钥文件存在于 ./secrets 中
- 检查文件权限（600 或 400）
- 验证未被 git 跟踪
报告缺失的密钥文件

步骤 3：密钥引用验证

检查每个服务的 secrets: 部分
验证引用的密钥在顶层密钥中定义
标记任何未定义的密钥引用

步骤 4：环境变量与密钥

扫描服务环境变量以查找潜在密钥
查找模式如：
- *_PASSWORD
- *_SECRET
- *_KEY
- *_TOKEN
- API_*
如果环境变量中包含敏感数据，建议改用密钥

步骤 5：密钥暴露检查

检查密钥是否存在于：
- docker-compose.yml（硬编码值）
- .env 文件（应改为在 ./secrets 中）
- ./config 中的配置文件
- 任何 shell 脚本
将任何暴露的密钥报告为关键安全问题

阶段 6：配置文件验证

步骤 1：配置目录结构

列出 ./config 目录中的所有文件
按服务组织（如果适用）
检查组织是否合理

步骤 2：配置文件验证

对于常见的配置文件类型，验证语法：
- YAML 文件（.yml、.yaml）
- JSON 文件（.json）
- INI 文件（.ini、.conf）
- TOML 文件（.toml）
报告任何语法错误

步骤 3：配置与密钥分离

扫描配置文件以查找潜在密钥
查找硬编码的密码、令牌、密钥
标记任何应改为在 ./secrets 中的密钥

步骤 4：配置所有权

检查所有配置文件的所有权
标记任何 root 拥有的配置文件
报告预期所有权（当前用户）

阶段 7：脚本验证

步骤 1：docker-entrypoint.sh 检测

搜索 docker-entrypoint.sh 文件
对于每个找到的文件：
- 记录位置
- 检查是否真正必要
验证它仅在容器不支持原生密钥时使用

步骤 2：脚本权限

检查 docker-entrypoint.sh 是否可执行（chmod +x）
验证所有权（不应为 root）
报告权限问题

步骤 3：脚本内容验证

扫描脚本以查找：
- 硬编码密钥（关键问题）
- 正确处理来自 /run/secrets/ 的密钥
- 错误处理
- 语法错误（如果是 bash/sh）
报告发现的任何问题

步骤 4：必要性检查

审查 docker-entrypoint.sh 是否真正需要
检查服务是否支持原生 Docker 密钥
如果不必要，建议移除

阶段 8：临时目录验证

步骤 1：目录检查

验证 ./_temporary 存在
检查它是否在 .gitignore 中
验证权限

步骤 2：内容检查

列出 ./_temporary 的内容
检查：
- 应清理的残留文件
- 占用空间的大文件
- 旧文件（> 7 天）
如果不为空，报告详细信息

步骤 3：使用情况验证

检查 ./_temporary 是否在 docker-compose.yml 中正确挂载
验证服务是否将其用于临时文件
如果未使用，标记

阶段 9：文件所有权审计

步骤 1：全面所有权扫描

使用 find . -type f -user root 2>/dev/null 查找 root 拥有的文件
排除预期目录（.git、node_modules、vendor）
列出找到的所有 root 拥有的文件

步骤 2：问题分类

按目录分组：
- ./config 中 root 拥有的文件
- ./secrets 中 root 拥有的文件
- 应用程序中 root 拥有的文件
使用具体路径报告

步骤 3：影响评估

对于每个 root 拥有的文件：
- 解释为何有问题
- 对栈操作的影响
- 可能发生的潜在错误

阶段 10：报告生成

步骤 1：编译所有发现

按类别组织发现：
- 目录结构
- 环境变量（.env 同步）
- Docker 配置
- 密钥管理
- 配置文件
- 脚本（docker-entrypoint.sh）
- 临时目录
- 文件所有权
分配严重级别：
- ❌ 关键：安全问题、缺失必需组件、.env 不匹配
- ⚠️ 警告：最佳实践违规、潜在问题
- ✅ 通过：未发现问题

步骤 2：生成验证报告

创建具有以下结构的综合报告：

🔍 GitLab Stack 验证报告
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
栈：[目录名称]
日期：[时间戳]
模式：[严格/宽松]

📊 摘要
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ 通过：[数量]
⚠️  警告：[数量]
❌ 关键：[数量]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

📋 详细发现
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[对于每个验证类别]

[类别图标] [类别名称]: [状态]
[如果发现问题:]
   ❌ [问题描述]
      位置：[文件/目录路径]
      影响：[影响内容]
      详情：[具体信息]

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

🎯 整体状态: [通过/失败/警告]

[如果失败或警告:]
🔧 推荐操作
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[按优先级排序的所需操作列表]
1. [最关键的操作]
2. [下一个操作]
...

💡 后续步骤
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- 使用 stack-creator 技能修复结构问题
- 使用 secrets-manager 技能正确配置密钥
- 修复后重新运行验证

步骤 3：提供可操作的指导

对于每个问题，提供：
- 问题的清晰描述
- 为何重要
- 哪个配套技能可以帮助修复它
- 一般指导（但不提供实际的修复命令）
按严重性对问题排序
将相关问题分组

步骤 4：导出选项

如果用户请求 JSON 输出，导出为：

{
  "stack": "directory-name",
  "timestamp": "ISO-8601",
  "summary": {
    "passed": 5,
    "warnings": 2,
    "critical": 1,
    "status": "failed"
  },
  "findings": [
    {
      "category": "environment-variables",
      "status": "critical",
      "issues": [...]
    }
  ]
}

必需目录存在
权限正确
.gitignore 覆盖范围
所有权正确

.env 文件存在且有效
.env.example 存在
关键：.env 和 .env.example 同步
.env 中没有密钥

docker-compose.yml 有效（通过 docker-validation 技能）
无 version 字段
密钥正确定义
卷遵循模式
服务依赖项正确

./secrets 目录安全
所有引用的密钥存在
权限正确
无暴露的密钥
环境变量不包含密钥

组织合理
语法有效
无嵌入式密钥
所有权正确

docker-entrypoint.sh 仅在必要时使用
可执行权限
无硬编码密钥
正确处理密钥

存在且在 .gitignore 中
为空或仅包含预期的临时文件
在 compose 文件中正确使用

无 root 拥有的文件
所有权一致
用户/组正确

与配套技能的集成

推荐用于：创建缺失的目录、初始化结构
处理：设置新栈、修复结构问题

推荐用于：密钥配置、密钥文件管理
处理：创建/更新密钥、正确设置密钥

在验证期间直接使用以进行 Docker 特定检查
提供：Docker Compose 和 Dockerfile 验证
集成到栈验证报告中

标准模式（默认）

将所有问题报告为警告或错误
提供全面的发现
建议改进

警告即失败
要求所有最佳实践
零容忍偏差

仅关键问题失败
允许警告
对最佳实践更宽松

如果项目根目录中存在 .stack-validator.yml，请遵循以下设置：

# 验证模式
strict_mode: false

# 警告是否应导致验证失败
fail_on_warnings: false

# 从验证中排除的路径
exclude_paths:
  - ./vendor
  - ./node_modules
  - ./_temporary/cache

# 要运行的自定义验证脚本
custom_checks:
  - ./scripts/custom-validation.sh

# 要跳过的特定检查
skip_checks:
  - temporary-directory-empty

报告验证结果时：

清晰直接：明确陈述问题，不含糊其辞
具体：包含确切的文件路径、行号、变量名
可操作：解释需要做什么（但不实际执行）
有帮助：指向可以修复问题的配套技能
有条理：将相关问题分组，按严重性排序
有教育意义：解释为何某事是个问题
简洁：不要用细节压倒用户，但要彻底

这些是生产栈必须通过的标准：

✅ .env 和 .env.example 完全同步
✅ docker-compose.yml 环境变量中没有密钥
✅ ./secrets 目录存在且具有受限权限
✅ 所有引用的密钥存在
✅ ./secrets 和 ./_temporary 在 .gitignore 中
✅ 无 root 拥有的文件
✅ docker-compose.yml 通过 docker-validation
✅ git 中无暴露的密钥
✅ .env 文件未被 git 跟踪

只读：此技能从不修改文件 - 仅验证
检测导向：报告问题，不修复它们
全面：系统地检查所有方面
快速：在几秒钟内完成验证
集成性：使用 docker-validation 技能进行 Docker 检查
配套感知：指导用户使用适当的技能进行修复

User: "验证我的栈"

1. 检查 docker-compose.yml 是否存在 ✅
2. 验证目录结构
   - ./config ✅
   - ./secrets ✅
   - ./_temporary ⚠️ (不在 .gitignore 中)
3. 验证 .env 配置
   - .env 存在 ✅
   - .env.example 存在 ❌ 关键
4. 运行 docker-validation 技能
   - docker-compose.yml 语法 ✅
   - 密钥配置 ⚠️ (使用环境变量)
5. 检查密钥管理
   - ./secrets 权限 ✅
   - 密钥文件存在 ✅
6. 扫描所有权问题
   - 在 ./config 中发现 3 个 root 拥有的文件 ❌
7. 生成包含发现的报告
8. 建议：使用 stack-creator 添加 .env.example 并修复 .gitignore

此技能通过全面验证确保栈的质量、安全性和部署就绪性。

🇺🇸English

GitLab Stack Validator

This skill validates GitLab stack projects to ensure they follow proper architecture patterns and are ready for deployment. It focuses on detection and reporting of issues, working alongside companion skills (stack-creator, secrets-manager) for remediation.

When to Use This Skill

Activate this skill when the user requests:

Validate a GitLab stack project
Check stack configuration before deployment
Verify stack architecture and structure
Audit stack for best practices compliance
Ensure stack follows proper patterns
Pre-deployment validation checks
Stack health check or readiness verification

Core Validation Principles

This skill validates stacks that follow these architecture principles:

Configuration Management : All configuration through docker-compose.yml and ./config directory
Secrets Management : Secrets stored in ./secrets and referenced via Docker secrets
Environment Variables : .env file with matching .env.example template
Minimal Custom Scripts : docker-entrypoint.sh only when containers don't support native secrets
Proper Ownership : No root-owned files (all files owned by Docker user)
Temporary Files : _temporary directory for transient files that are cleaned up after use
Docker Best Practices : Leverage docker-validation skill for Docker-specific checks

Validation Workflow

When a user requests stack validation, follow this comprehensive workflow:

Phase 1: Pre-flight Checks

Step 1: Verify Stack Project

Check if current directory appears to be a stack project
Look for key indicators:
- docker-compose.yml exists
- Presence of ./config, ./secrets, or ./_temporary directories
- .env file exists
If not a stack project, report findings and ask if user wants to initialize one

Step 2: Gather Context

Ask user for validation scope (if needed):
- Full validation or targeted checks?
- Strict mode or permissive mode?
- Output format preference (text report vs JSON)?
Check if .stack-validator.yml exists for custom rules
Note the working directory for reporting

Phase 2: Directory Structure Validation

Step 1: Required Directories

Check for required directories:
- ./config - Configuration files directory
- ./secrets - Secrets storage directory
- ./_temporary - Temporary files directory
For each missing directory, record:
- Directory name
- Purpose and why it's required
- Impact on stack functionality

Step 2: Directory Permissions

Check ./secrets has restricted permissions (700 or 600)
Verify other directories have appropriate permissions
Report any permission issues with security implications

Step 3: Directory Ownership

Scan all project directories for ownership
Flag any root-owned directories:
- Directory path
- Current owner
- Expected owner (current user or docker user)
Flag any files with unexpected ownership

Step 4: .gitignore Validation

Check if .gitignore exists
Verify it excludes:
- ./secrets or ./secrets/*
- ./_temporary or ./_temporary/*
- .env (should not be in git)
Report missing exclusions with security implications

Phase 3: Environment Variables Validation

Step 1: .env File Validation

Check if .env file exists
Parse .env file for:
- Syntax errors
- Duplicate variable definitions
- Empty values that might be required
Record all environment variable names found

Step 2: .env.example Validation

Check if .env.example exists
If missing, this is a critical issue - document why it's needed
Parse .env.example for variable names

Step 3: .env Synchronization Check

Compare variables in .env with .env.example:
- Variables in .env but NOT in .env.example
- Variables in .env.example but NOT in .env
This is a critical validation point - they must match
Report any mismatches with specific variable names

Step 4: Environment Variable Security

Scan .env for potential secrets:
- Variables with names containing: password, secret, key, token, api
- Base64-encoded looking values
- Long random strings
If secrets detected in .env, flag as security issue
Suggest moving to ./secrets and Docker secrets instead

Phase 4: Docker Configuration Validation

Step 1: Invoke docker-validation Skill

Use the docker-validation skill to validate:
- docker-compose.yml syntax and best practices
- Dockerfile(s) if present
- Multi-stage builds
- Security configurations
Collect all findings from docker-validation
Integrate into overall stack validation report

Step 2: Stack-Specific Docker Checks

Review docker-compose.yml for stack patterns:
- Secrets are defined in top-level secrets: section
- Services reference secrets via secrets: key (not environment variables)
- Volume mounts follow patterns (./config, ./secrets, ./_temporary)
- Networks are properly defined if multi-service
- Service dependencies use depends_on correctly

Step 3: Version Check

Ensure docker-compose.yml does NOT have version field at top
This follows modern Docker Compose specification
If version field present, flag for removal

Phase 5: Secrets Management Validation

Step 1: Secrets Directory Check

Verify ./secrets directory exists
Check permissions are restrictive (700)
Verify it's excluded from git

Step 2: Docker Secrets Validation

Parse docker-compose.yml for secrets definitions
For each secret definition:
- Verify the secret file exists in ./secrets
- Check file permissions (600 or 400)
- Verify not tracked by git
Report missing secret files

Step 3: Secret References Validation

Check each service's secrets: section
Verify referenced secrets are defined in top-level secrets
Flag any undefined secret references

Step 4: Environment Variables vs Secrets

Scan service environment variables for potential secrets
Look for patterns like:
- *_PASSWORD
- *_SECRET
- *_KEY
- *_TOKEN
- API_*
If sensitive data in environment, suggest using secrets instead

Step 5: Secret Exposure Check

Check for secrets in:
- docker-compose.yml (hardcoded values)
- .env file (should be in ./secrets instead)
- Configuration files in ./config
- Any shell scripts
Report any exposed secrets as critical security issues

Phase 6: Configuration Files Validation

Step 1: Config Directory Structure

List all files in ./config directory
Organize by service (if applicable)
Check for proper organization

Step 2: Config File Validation

For common config file types, validate syntax:
- YAML files (.yml, .yaml)
- JSON files (.json)
- INI files (.ini, .conf)
- TOML files (.toml)
Report any syntax errors

Step 3: Config vs Secrets Separation

Scan config files for potential secrets
Look for hardcoded passwords, tokens, keys
Flag any secrets that should be in ./secrets instead

Step 4: Config Ownership

Check all config files for ownership
Flag any root-owned config files
Report expected ownership (current user)

Phase 7: Script Validation

Step 1: docker-entrypoint.sh Detection

Search for docker-entrypoint.sh files
For each found:
- Document location
- Check if truly necessary
Validate it's only used when container doesn't support native secrets

Step 2: Script Permissions

Check docker-entrypoint.sh is executable (chmod +x)
Verify ownership (should not be root)
Report permission issues

Step 3: Script Content Validation

Scan script for:
- Hardcoded secrets (critical issue)
- Proper secret handling from /run/secrets/
- Error handling
- Syntax errors (if bash/sh)
Report any issues found

Step 4: Necessity Check

Review if docker-entrypoint.sh is truly needed
Check if service supports native Docker secrets
Suggest removal if unnecessary

Phase 8: Temporary Directory Validation

Step 1: Directory Check

Verify ./_temporary exists
Check it's in .gitignore
Verify permissions

Step 2: Content Check

List contents of ./_temporary
Check for:
- Leftover files that should be cleaned
- Large files consuming space
- Old files (> 7 days old)
Report if not empty with details

Step 3: Usage Validation

Check if ./_temporary is properly mounted in docker-compose.yml
Verify services use it for temporary files
Flag if not being utilized

Phase 9: File Ownership Audit

Step 1: Comprehensive Ownership Scan

Use find . -type f -user root 2>/dev/null to find root-owned files
Exclude expected directories (.git, node_modules, vendor)
List all root-owned files found

Step 2: Categorize Issues

Group by directory:
- ./config files owned by root
- ./secrets files owned by root
- Application files owned by root
Report with specific paths

Step 3: Impact Assessment

For each root-owned file:
- Explain why this is problematic
- Impact on stack operations
- Potential errors that may occur

Phase 10: Report Generation

Step 1: Compile All Findings

Organize findings by category:
- Directory Structure
- Environment Variables (.env sync)
- Docker Configuration
- Secrets Management
- Configuration Files
- Scripts (docker-entrypoint.sh)
- Temporary Directory
- File Ownership
Assign severity levels:
- ❌ CRITICAL : Security issues, missing required components, .env mismatch
- ⚠️ WARNING : Best practice violations, potential issues
- ✅ PASS : No issues found

Step 2: Generate Validation Report

Create a comprehensive report with this structure:

🔍 GitLab Stack Validation Report
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Stack: [directory name]
Date: [timestamp]
Mode: [strict/permissive]

📊 SUMMARY
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Passed: [count]
⚠️  Warnings: [count]
❌ Critical: [count]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

📋 DETAILED FINDINGS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

[For each validation category]

[Category Icon] [Category Name]: [STATUS]
[If issues found:]
   ❌ [Issue description]
      Location: [file/directory path]
      Impact: [what this affects]
      Details: [specific information]

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

🎯 OVERALL STATUS: [PASSED/FAILED/WARNINGS]

[If failures or warnings:]
🔧 RECOMMENDED ACTIONS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[Prioritized list of actions needed]
1. [Most critical action]
2. [Next action]
...

💡 NEXT STEPS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- Use stack-creator skill to fix structural issues
- Use secrets-manager skill to properly configure secrets
- Re-run validation after fixes

Step 3: Provide Actionable Guidance

For each issue, provide:
- Clear description of the problem
- Why it matters
- Which companion skill can help fix it
- General guidance (but not actual fix commands)
Prioritize issues by severity
Group related issues together

Step 4: Export Options

If user requested JSON output, export as:

{
  "stack": "directory-name",
  "timestamp": "ISO-8601",
  "summary": {
    "passed": 5,
    "warnings": 2,
    "critical": 1,
    "status": "failed"
  },
  "findings": [
    {
      "category": "environment-variables",
      "status": "critical",
      "issues": [...]
    }
  ]
}

Validation Categories Reference

1. Directory Structure

Required directories exist
Proper permissions
.gitignore coverage
Ownership correctness

2. Environment Variables

.env file exists and valid
.env.example exists
CRITICAL : .env and .env.example are synchronized
No secrets in .env

3. Docker Configuration

docker-compose.yml valid (via docker-validation skill)
No version field
Secrets properly defined
Volumes follow patterns
Service dependencies correct

4. Secrets Management

./secrets directory secure
All referenced secrets exist
Proper permissions
No exposed secrets
Environment variables don't contain secrets

5. Configuration Files

Proper organization
Valid syntax
No embedded secrets
Correct ownership

6. Scripts

docker-entrypoint.sh only when necessary
Executable permissions
No hardcoded secrets
Proper secret handling

7. Temporary Directory

Exists and in .gitignore
Empty or contains only expected transient files
Properly utilized in compose file

8. File Ownership

No root-owned files
Consistent ownership
Proper user/group

Integration with Companion Skills

stack-creator

Recommend for: Creating missing directories, initializing structure
Handles: Setting up new stacks, fixing structural issues

secrets-manager

Recommend for: Secrets configuration, secret file management
Handles: Creating/updating secrets, proper secret setup

docker-validation

Used directly during validation for Docker-specific checks
Provides: Docker Compose and Dockerfile validation
Integrated into stack validation report

Validation Modes

Standard Mode (Default)

Report all issues as warnings or errors
Provide comprehensive findings
Suggest improvements

Strict Mode

Fail on warnings
Require all best practices
Zero tolerance for deviations

Permissive Mode

Only fail on critical issues
Allow warnings
More lenient on best practices

Configuration Support

If .stack-validator.yml exists in project root, respect these settings:

# Validation mode
strict_mode: false

# Whether warnings should fail validation
fail_on_warnings: false

# Paths to exclude from validation
exclude_paths:
  - ./vendor
  - ./node_modules
  - ./_temporary/cache

# Custom validation scripts to run
custom_checks:
  - ./scripts/custom-validation.sh

# Specific checks to skip
skip_checks:
  - temporary-directory-empty

Communication Style

When reporting validation results:

Be Clear and Direct : State issues plainly without hedging
Be Specific : Include exact file paths, line numbers, variable names
Be Actionable : Explain what needs to be done (without doing it)
Be Helpful : Point to companion skills that can fix issues
Be Organized : Group related issues, prioritize by severity
Be Educational : Explain why something is an issue
Be Concise : Don't overwhelm with details, but be thorough

Critical Validation Points

These are must-pass criteria for production stacks:

✅ .env and .env.example are fully synchronized
✅ No secrets in docker-compose.yml environment variables
✅ ./secrets directory exists and has restrictive permissions
✅ All referenced secrets exist
✅ ./secrets and ./_temporary are in .gitignore
✅ No root-owned files
✅ docker-compose.yml passes docker-validation
✅ No secrets exposed in git
✅ .env file is not tracked by git

Important Notes

Read-Only : This skill NEVER modifies files - validation only
Detection-Focused : Report issues, don't fix them
Comprehensive : Check all aspects systematically
Fast : Complete validation in seconds
Integrative : Use docker-validation skill for Docker checks
Companion-Aware : Direct users to appropriate skills for fixes

Example Validation Flow

User: "Validate my stack"

1. Check if docker-compose.yml exists ✅
2. Verify directory structure
   - ./config ✅
   - ./secrets ✅
   - ./_temporary ⚠️ (not in .gitignore)
3. Validate .env configuration
   - .env exists ✅
   - .env.example exists ❌ CRITICAL
4. Run docker-validation skill
   - docker-compose.yml syntax ✅
   - Secrets configuration ⚠️ (using environment vars)
5. Check secrets management
   - ./secrets permissions ✅
   - Secret files exist ✅
6. Scan for ownership issues
   - Found 3 root-owned files in ./config ❌
7. Generate report with findings
8. Suggest: Use stack-creator to add .env.example and fix .gitignore

This skill ensures stack quality, security, and deployment readiness through comprehensive validation.

Weekly Installs

–

Repository

rknall/claude-skills

GitHub Stars

First Seen

–

Security Audits

Gen Agent Trust HubPass SocketPass SnykPass

Azure Data Explorer (Kusto) 查询技能：KQL数据分析、日志遥测与时间序列处理

114,200 周安装

GitLab栈验证器 - 自动检测部署配置问题，确保架构合规与安全

🇨🇳中文介绍

GitLab Stack 验证器

何时使用此技能

核心验证原则

验证工作流程

阶段 1：预检

相关 Skills

阶段 2：目录结构验证

阶段 3：环境变量验证

阶段 4：Docker 配置验证

阶段 5：密钥管理验证

阶段 6：配置文件验证

阶段 7：脚本验证

阶段 8：临时目录验证

阶段 9：文件所有权审计

阶段 10：报告生成

验证类别参考

1. 目录结构

2. 环境变量

3. Docker 配置

4. 密钥管理

5. 配置文件

6. 脚本

7. 临时目录

8. 文件所有权

与配套技能的集成

stack-creator

secrets-manager

docker-validation

验证模式

标准模式（默认）

严格模式

宽松模式

配置支持

沟通风格

关键验证点

重要说明

验证流程示例

🇺🇸English

GitLab Stack Validator

When to Use This Skill

Core Validation Principles

Validation Workflow

Phase 1: Pre-flight Checks

Phase 2: Directory Structure Validation

Phase 3: Environment Variables Validation

Phase 4: Docker Configuration Validation

Phase 5: Secrets Management Validation

Phase 6: Configuration Files Validation

Phase 7: Script Validation

Phase 8: Temporary Directory Validation

Phase 9: File Ownership Audit

Phase 10: Report Generation

Validation Categories Reference

1. Directory Structure

2. Environment Variables

3. Docker Configuration

4. Secrets Management

5. Configuration Files

6. Scripts

7. Temporary Directory

8. File Ownership

Integration with Companion Skills

stack-creator

secrets-manager

docker-validation

Validation Modes

Standard Mode (Default)

Strict Mode

Permissive Mode

Configuration Support

Communication Style

Critical Validation Points

Important Notes

Example Validation Flow

最新 Skills