HashiCorpは米国時間4月23日、「HashiCorp Cloud Platform(HCP)Packer」と「Packer Community Edition」最新版(1.10.1+)において、Packerおよびプラグインのバージョン追跡機能を利用可能にした。
HCP Packerは、仮想マシンやコンテナーなどのイメージアーティファクトをあらゆるクラウドやオンプレミス環境において大規模に管理する。今回の機能追加により、ビルドアーティファクト作成時にPacker Community Editionや関連プラグインのバージョンを迅速に確認できるようになった。
ソフトウェアサプライチェーンにおけるセキュリティ要件が高まるにつれ、ベースイメージとビルドアーティファクトのガバナンスは極めて重要な懸念事項として認識されるようになっているとHashiCorpは述べる。アーティファクトがどこでどのようにビルドされたかという来歴が不明な場合、組織は、検証されていないソフトウェアコンポーネントによってセキュリティ上の脅威に直面することになるという。
そのため、信頼できるアーティファクトだけの利用を確かにし、そのアーティファクトをライフサイクルの各段階で検証することにより、ソフトウェアサプライチェーンの完全性とセキュリティを維持する必要がある。しかし、アーティファクトの作成パイプラインに適切な可視性を組み込まなければ、アーティファクトの正当性とコンプライアンスを検証することは困難とHashiCorpは指摘する。
出典:HashiCorp
Packerおよびプラグインのバージョン追跡機能により、HCP上でPacker Community Editionやプラグインのどのバージョンが各アーティファクトで使われているかが直接確認できる。この機能強化は、アーティファクトの作成で使われるツールにさらなる可視性をもたらし、この情報を問題解決やリスク低減に用いることで、アーティファクトの完全な来歴確認に向けたステップと同社はアピールする。
