phirna-pub/zima-apps
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
9c4265b4291fc26032aa39ca272fdcd6c4921e2f
zima-apps/README.md
T
Joachim Friberg 4b43e80f06 Updated metadata 
Changed author and developer to Joachim Friberg
2026-03-20 13:15:56 +01:00

5.5 KiB
Raw Blame History

zima-apps

Skelett för att bygga och underhålla ZimaOS/CasaOS-appar i ett eget appstore-repo.

Mål

  • Små, reviewbara appdefinitioner.
  • Säkra default-värden (least privilege, pinned image-taggar, inga latest).
  • Tydlig struktur för metadata, kategorier och rekommendationer.

Struktur

.
├── Apps/
│   └── _template/
│       ├── README.md
│       └── docker-compose.yaml
├── category-list.json
├── featured-apps.json
├── recommend-list.json
└── scripts/
    ├── build-appstore-zip.sh
    ├── build-and-push-image.sh
    ├── discover-zima-repos-and-apps.sh
    ├── map-unraid-images-to-zima-apps.sh
    └── validate-appstore.sh

Viktiga antaganden

  • Repo använder docker-compose.yaml enligt teamets standard.
  • Upstream-exempel använder ofta docker-compose.yml.
  • Om en extern pipeline kräver exakt .yml behöver vi lägga till en konverterings/rename-step vid publicering.

Snabbstart

  1. Kopiera Apps/_template till Apps/<app-id>.
  2. Sätt unikt name i compose-filen (endast gemener + -).
  3. Pinna image till explicit version eller digest (inte latest).
  4. Kör validering:
./scripts/validate-appstore.sh

Inför release/publicering, kör strikt validering för högrisk-inställningar:

./scripts/validate-appstore.sh --enforce-risk-docs

Bygg och publicera app-specifika custom images (Docker Hub namespace joafri som default):

./scripts/build-and-push-image.sh --app-id caddy-autogen --tag 0.1.0

Scriptet läser Apps/<app-id>/docker-compose.yaml och bygger alla services som har build: om --component inte anges. --component kan användas för en enskild service (service-namn eller context-path). Arkitekturer hämtas från x-casaos.architectures; builden kör fail-open per arkitektur och visar varningar i slutet för misslyckade arch-builds.

Scripts

validate-appstore.sh

Basvalidering:

./scripts/validate-appstore.sh

Strikt riskdokumentationskontroll:

./scripts/validate-appstore.sh --enforce-risk-docs

build-and-push-image.sh

Bygger och pushar appens custom images till Docker Hub (joafri som default).

./scripts/build-and-push-image.sh --app-id caddy-autogen --tag 0.2.0

Viktiga flaggor:

  • --component <value>: bygg endast en service (service-namn eller context-path).
  • --repo <namespace>: byt namespace (default joafri).
  • --no-push: bygg utan push.

Beteende:

  • Läser Apps/<app-id>/docker-compose.yaml.
  • Bygger alla services med build: om --component inte anges.
  • Läser arkitekturer från x-casaos.architectures.
  • Bygger per arkitektur och skapar manifest-tag.
  • Fail-open per arkitektur (varning i slutet om någon arch misslyckas).

build-appstore-zip.sh

Bygger appstore-zip (inklusive .yaml -> .yml export i staging).

./scripts/build-appstore-zip.sh

Bygg och publicera dist/ till main:

./scripts/build-appstore-zip.sh --push

Viktiga flaggor:

  • --push: byter till main, git add dist/, commit Updated appstore, push origin main.
  • --strict-images: fail-closed om någon image i apparna saknas online.

Image-verifiering:

  • Scriptet verifierar alla image: i Apps/*/docker-compose.yaml (skippar _template) via registry-manifest.
  • Standardläge: fail-open (varningar skrivs ut, zip byggs ändå).
  • CI/Gitea-runner (CI=true eller GITEA_ACTIONS=true): scriptet blir automatiskt strikt och returnerar felkod om någon image saknas.

discover-zima-repos-and-apps.sh

Hämtar appstore-repon från en ZimaOS-host via SSH (auto scan av kända CasaOS/ZimaOS-paths), validerar repo-zippar och skriver en inventerings-YAML.

./scripts/discover-zima-repos-and-apps.sh \
  --host 10.0.1.10 \
  --user root \
  --out artifacts/zima-repo-app-inventory.yaml

Med explicit extra repo-URL (om host-scan missar något):

./scripts/discover-zima-repos-and-apps.sh \
  --host 10.0.1.10 \
  --repo-url https://example.org/my-appstore.zip \
  --out artifacts/zima-repo-app-inventory.yaml

Endast manuella repo-URL:er (utan SSH-scan):

./scripts/discover-zima-repos-and-apps.sh \
  --host 10.0.1.10 \
  --skip-host-scan \
  --insecure-tls \
  --repo-url https://example.org/my-appstore.zip \
  --out artifacts/zima-repo-app-inventory.yaml

--insecure-tls ska bara användas när CA-kedja saknas i den miljö där scriptet körs.

Output innehåller:

  • repositories[]: repo-URL, källa (host-scan/manual), status och felorsak.
  • apps[]: app_id, title, repo_url och normaliserade images.

map-unraid-images-to-zima-apps.sh

Mappar en lista av Unraid-image-referenser mot inventerings-YAML från discovery-scriptet.

./scripts/map-unraid-images-to-zima-apps.sh \
  --unraid-images /tmp/unraid-images.txt \
  --inventory artifacts/zima-repo-app-inventory.yaml \
  --out artifacts/unraid-to-zima-map.yaml

Output innehåller:

  • mapping[] per image med match_status = found, missing eller ambiguous.
  • matched_apps[] med träfforsaker (image_exact, image_basename, name_alias).
  • summary för total/found/missing/ambiguous.

Säkerhetsriktlinjer

  • Undvik privilegierad container, host network och docker.sock om det inte är absolut nödvändigt.
  • Håll mounts snäva och appspecifika (/DATA/AppData/$AppID/...).
  • Sätt security_opt: ["no-new-privileges:true"] där det är möjligt.
  • Dokumentera avvikelser från säkra default-värden i appens README.md.
Reference in New Issue View Git Blame Copy Permalink