Adiciona arquivos de configuração e documentação para a imagem de debug não-root

Author: heraque

.dockerignore

@@ -0,0 +1,5 @@
+# Evita enviar lixo de git e artefatos locais para o contexto de build.
+.git
+.github
+.DS_Store
+*.log

.github/workflows/publish.yml

@@ -0,0 +1,81 @@
+name: publish
+
+on:
+  push:
+    branches:
+      - main
+    tags:
+      - "v*"
+  pull_request:
+
+permissions:
+  contents: read
+  packages: write
+  attestations: write
+  id-token: write
+
+concurrency:
+  group: publish-${{ github.ref }}
+  cancel-in-progress: true
+
+jobs:
+  docker:
+    runs-on: ubuntu-latest
+
+    steps:
+      # Baixa o repositorio para montar a imagem a partir do Dockerfile versionado.
+      - name: Checkout
+        uses: actions/checkout@v5
+
+      # Habilita emulacao para publicar amd64 e arm64 a partir do runner padrao.
+      - name: Set up QEMU
+        uses: docker/setup-qemu-action@v3
+
+      # Prepara o builder Buildx com suporte a multiplataforma e cache.
+      - name: Set up Docker Buildx
+        uses: docker/setup-buildx-action@v4
+
+      # Faz login no GHCR usando o token nativo do workflow, como recomendado pela documentacao do GitHub.
+      - name: Log in to GHCR
+        if: github.event_name != 'pull_request'
+        uses: docker/login-action@v4
+        with:
+          registry: ghcr.io
+          username: ${{ github.actor }}
+          password: ${{ secrets.GITHUB_TOKEN }}
+
+      # Gera tags e labels OCI automaticamente para branch main, semver e SHA curto.
+      - name: Extract Docker metadata
+        id: meta
+        uses: docker/metadata-action@v5
+        with:
+          images: ghcr.io/${{ github.repository_owner }}/debugtools
+          tags: |
+            type=raw,value=main,enable=${{ github.ref == 'refs/heads/main' }}
+            type=semver,pattern={{version}},enable=${{ startsWith(github.ref, 'refs/tags/v') }}
+            type=semver,pattern={{major}}.{{minor}},enable=${{ startsWith(github.ref, 'refs/tags/v') }}
+            type=sha,format=short
+
+      # Monta a imagem, roda o build multiplataforma e publica no GHCR fora de pull request.
+      - name: Build and push
+        id: build
+        uses: docker/build-push-action@v7
+        with:
+          context: .
+          file: ./Dockerfile
+          platforms: linux/amd64,linux/arm64
+          pull: true
+          push: ${{ github.event_name != 'pull_request' }}
+          tags: ${{ steps.meta.outputs.tags }}
+          labels: ${{ steps.meta.outputs.labels }}
+          cache-from: type=gha
+          cache-to: type=gha,mode=max
+
+      # Publica atestacao de proveniencia apenas quando a imagem realmente foi enviada ao GHCR.
+      - name: Attest build provenance
+        if: github.event_name != 'pull_request'
+        uses: actions/attest-build-provenance@v2
+        with:
+          subject-name: ghcr.io/${{ github.repository_owner }}/debugtools
+          subject-digest: ${{ steps.build.outputs.digest }}
+          push-to-registry: true

Dockerfile

@@ -0,0 +1,52 @@
+# Usa a release estavel mais nova do Alpine verificada em 19/05/2026.
+FROM alpine:3.23.4
+
+# Define shell estrito para falhar cedo durante a montagem da imagem.
+SHELL ["/bin/sh", "-euxo", "pipefail", "-c"]
+
+# Instala apenas o ferramental generico que o SRE realmente usa em debug de rede,
+# TLS, DNS, processos e leitura de artefatos estruturados.
+RUN apk add --no-cache \
+    bash \
+    bind-tools \
+    busybox-extras \
+    ca-certificates \
+    coreutils \
+    curl \
+    file \
+    findutils \
+    gawk \
+    grep \
+    iproute2 \
+    iputils \
+    jq \
+    netcat-openbsd \
+    openssl \
+    procps \
+    sed \
+    socat \
+    util-linux \
+    wget \
+    yq \
+  && addgroup -g 10001 -S sre \
+  && adduser -u 10001 -S -D -G sre -h /home/sre sre \
+  && mkdir -p /home/sre /workspace \
+  && chown -R 10001:10001 /home/sre /workspace
+
+# Expõe metadados padrao para rastreabilidade e compatibilidade com tooling OCI.
+LABEL org.opencontainers.image.title="debugTools" \
+      org.opencontainers.image.description="Imagem enxuta de diagnostico SRE nao-root para containers efemeros no Kubernetes" \
+      org.opencontainers.image.source="https://github.com/heraque/debugTools" \
+      org.opencontainers.image.licenses="MIT"
+
+# Define ambiente previsivel para shells, certificados e area de trabalho.
+ENV HOME=/home/sre \
+    TERM=xterm-256color \
+    PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
+
+# Garante compatibilidade com policies runAsNonRoot usando UID/GID numericos.
+USER 10001:10001
+WORKDIR /workspace
+
+# Mantem a imagem util para execucao interativa e comandos injetados pelo wrapper.
+CMD ["/bin/bash"]

README.md

@@ -1 +1,170 @@
-# debugTools
+# debugTools
+
+Imagem de debug não-root para uso em containers efêmeros de diagnóstico no Kubernetes.
+
+## Objetivo
+
+Esta imagem existe para substituir o uso genérico de `nicolaka/netshoot` em cenários onde o workload alvo exige `runAsNonRoot` e políticas mais rígidas de segurança.
+
+Ela foi desenhada para uso geral em troubleshooting Kubernetes com `kubectl debug`, especialmente quando o caso exige toolbox de rede, DNS e TLS dentro do pod alvo.
+
+## Para que serve
+
+Use esta imagem quando o operador precisar:
+
+- validar DNS, TCP e TLS a partir do namespace/pod real;
+- inspecionar resolução de nomes, rotas e sockets;
+- fazer `GET`/`HEAD` idempotentes para health checks;
+- analisar certificados, cadeias TLS e handshake;
+- consultar JSON/YAML/texto com ferramentas simples e previsíveis;
+- operar em pods com `runAsNonRoot`, sem depender de imagem root.
+
+## O que esta imagem entrega
+
+Ferramental incluído:
+
+- `bash`
+- `bind-tools` (`dig`, `nslookup`)
+- `busybox-extras`
+- `ca-certificates`
+- `coreutils`
+- `curl`
+- `file`
+- `findutils`
+- `gawk`
+- `grep`
+- `iproute2` (`ip`, `ss`)
+- `iputils`
+- `jq`
+- `netcat-openbsd` (`nc`)
+- `openssl`
+- `procps`
+- `sed`
+- `socat`
+- `util-linux`
+- `wget`
+- `yq`
+
+Características operacionais:
+
+- base `alpine:3.23.4`
+- usuário numérico fixo `10001:10001`
+- `WORKDIR=/workspace`
+- imagem pequena o suficiente para uso recorrente, mas completa para diagnóstico de rede/TLS
+
+## O que esta imagem não tenta ser
+
+Esta imagem não tenta virar toolbox universal sem critério.
+
+Ela deliberadamente não inclui por padrão:
+
+- `kubectl`
+- `helm`
+- `tcpdump`
+- clientes específicos de banco (`psql`, `redis-cli`, `mysql`, `mongo`)
+- toolchains de build
+- Python/Node/Go só para scripting ad hoc
+
+Motivo:
+
+- isso aumenta tamanho, superfície de ataque e drift;
+- boa parte desses binários não é necessária para a maioria dos diagnósticos read-only no Kubernetes;
+- o objetivo aqui é resolver bem a trilha de conectividade, DNS, TLS, sockets e parsing leve.
+
+Se algum binário extra virar necessidade recorrente e justificada por evidência real, ele deve ser adicionado conscientemente, não por conveniência.
+
+## Como usar
+
+### 1. Publicar no GHCR
+
+O workflow em `.github/workflows/publish.yml` publica a imagem em:
+
+```text
+ghcr.io/heraque/debugtools
+```
+
+Fluxo esperado:
+
+1. subir mudanças na branch `main`;
+2. deixar o GitHub Actions buildar e publicar;
+3. preferir tags versionadas para produção, por exemplo `v0.1.0`;
+4. evitar depender de `:main` por muito tempo em ambientes estáveis.
+
+### 2. Build local
+
+```bash
+docker build -t debugtools:test .
+```
+
+### 3. Teste local rápido
+
+```bash
+docker run --rm debugtools:test sh -lc 'id && dig -v | head -n 1 && openssl version && jq --version'
+```
+
+### 4. Uso manual com kubectl debug
+
+Exemplo ilustrativo:
+
+```bash
+kubectl debug pod/app-123 \
+  -n app-ns \
+  --target=app \
+  --image=ghcr.io/heraque/debugtools:v0.1.0 \
+  --container=debugger \
+  -- bash
+```
+
+## Uso em automações e wrappers
+
+Esta imagem pode ser consumida por wrappers, automações de diagnóstico ou uso manual com `kubectl debug`.
+
+Contrato operacional esperado:
+
+- usar somente em diagnóstico controlado;
+- preferir primeiro o runtime nativo do container alvo quando ele já tiver os binários necessários;
+- subir para um container efêmero quando:
+  - faltarem binários no container alvo;
+  - a prova precisar vir do runtime/pod real;
+  - o caso exigir toolbox de rede/TLS mais completo.
+
+## Casos típicos de uso
+
+- testar `tcp` e `tls` para `kubernetes.default.svc:443`
+- validar SNI e trust chain de um endpoint interno
+- confirmar DNS dentro do pod quando a aplicação não tem `dig`/`nslookup`
+- analisar `curl -I`/`wget --spider` em endpoints de health
+- checar `ss -plant` ou `ip route` durante falha de conectividade
+- inspecionar resposta HTTP sem depender de shell livre fora do fluxo de diagnóstico
+
+## Segurança e trade-offs
+
+Pontos de desenho:
+
+- não-root por padrão para compatibilidade com `runAsNonRoot`
+- sem privilégio adicional
+- sem capabilities extras por padrão
+- foco em diagnóstico read-only
+
+Trade-off aceito:
+
+- a imagem não é a menor possível em bytes absolutos;
+- ela é pequena o bastante para uso operacional e grande o bastante para evitar fallback tosco durante incidentes reais.
+
+## Versionamento recomendado
+
+Para uso operacional estável:
+
+- publique com tag semântica, por exemplo `v0.1.0`
+- fixe o chart/consumer nesse tag
+- use `:main` apenas como trilha de desenvolvimento
+
+## Quando evoluir esta imagem
+
+Vale mexer nela quando houver evidência recorrente de que falta uma capacidade necessária ao troubleshooting real, por exemplo:
+
+- debugging de DNS/TLS insuficiente;
+- parsing estrutural insuficiente;
+- incompatibilidade com políticas comuns de segurança de workload.
+
+Não vale mexer nela só porque “pode ser útil algum dia”.