HashiCorp、「HCP Packer」にパイプラインメタデータ追跡機能–「SLSA」レベル1に準拠

今回は「HashiCorp、「HCP Packer」にパイプラインメタデータ追跡機能–「SLSA」レベル1に準拠」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　HashiCorpは米国時間8月5日、「HCP Packer」にパイプラインメタデータトラッキングを追加した。

　ソフトウェアサプライチェーンに対するセキュリティ要件が高まるなか、組織は、ベースイメージやビルドアーティファクトの来歴を把握する必要性を認識しているとHashiCorpはいう。アーティファクトの来歴には、イメージビルドの作成や構成に関する検証可能な情報が含まれる。

　各アーティファクトがどこで、どのように、誰によってビルドされたかについて明確な来歴が不明な場合、アーティファクトの正当性とコンプライアンスを検証することが困難になるという。組織は、ライフサイクの各ステージで認証された信頼できるアーティファクトのみを採用することで、自社のソフトウェアの正当性とセキュリティを維持する必要があると同社は指摘する。

　HCP Packerは、あらゆるクラウドおよびオンプレミス環境で大規模なイメージライフサイクル管理を可能にするサービス。今回、アーティファクトレジストリーでパイプラインのメタデータをトラッキングする機能を追加した。これらメタデータには、パイプラインID、ジョブ名、OSの詳細、バージョン管理システム（VCS）コミットといった継続的インテグレーション／継続的デリバリー（CI/CD）情報が含まれる。

　今回の追加により、HCP Packerは「Supply-chain Levels for Software Artifacts（SLSA）」認証のレベル1に準拠し、セキュリティに関してリスクベースの意思決定を可能にするソースコード識別の基本レベルを提供する。これにより、セキュリティレフトとインフラデプロイメントプロセスの早い段階におけるリスクへの対処が可能になる。

　パイプラインメタデータトラッキングは、HCP Packer内でメタデータの可視性を向上するというHashiCorpの取り組みに基づいており、Packerバージョンとプラグインバージョンのトラッキングといった最近の追加に続くもの。組織がイメージの完全な可視性を得て、ビルドパイプラインの安全を維持することを支援する完全なアーティファクトの来歴に向けた新たな一歩となるという。