米Dockerは、コンテナ・イメージのビルドツール「BuildKit」の最新版「バージョン0.11」を1月19日(現地時間)に公開した。
「バージョン0.11」ではまず、SLSA(Supply chain Levels for Software Artifacts)の証明を出力するようになった。SLSAとは、Googleが提唱している考え方で、ソフトウェア開発の最初の段階から、本番環境への配備までの手順全てを攻撃者から守るために準拠すべきガイドラインだ。ソフトウェア・サプライチェーンへの攻撃に対する防御策の一つと言える。
今回の新版では、イメージをビルドするときに使用しているソース・コードへのリンクや、ビルド日時のタイムスタンプ、その他ビルドに使用したツールなどを記述したメタデータを出力する。これを見ることで、イメージがどのようにビルドされたかの詳細を知ることができる。
さらに、ビルド時にソフトウェア部品表(SBOM:Software Bill Of Materials)も出力できるようになった。イメージの作成にどのようなソフトウェアを使用したのかを詳細に記録した部品表を作成することで、イメージを構成するソフトウェアすべての出どころを追跡できる。これも、ソフトウェア・サプライチェーンへの攻撃に対する防御策の一つだ。
ほかにも、OCI(Open Containers Initiative)が定める仕様で、イメージにアノテーション(注釈)を付加できるようになるなど、いくつかの新機能が加わっているほか、既存の不具合も修正している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
