HCP Packer adiciona provisionadores forçados

O HCP Packer introduziu oficialmente os provisionadores forçados em 9 de junho de 2026, uma atualização crítica para governança de imagens em ambientes multi-equipe e multi-nuvem. Diferentemente de provisionadores convencionais — que dependem de configuração manual em cada template Packer —, os provisionadores forçados são definidos centralmente no HCP Packer (via UI ou API), vinculados a buckets específicos e executados automaticamente em toda build downstream, sem exceção. Isso garante que etapas como instalação de agentes de segurança (ex.: Wazuh, Sysdig), aplicação de hardening via CIS Benchmarks, geração de SBOM com Syft, ou inserção de certificados TLS sejam aplicadas de forma imutável e auditável em todas as imagens derivadas — AMIs da AWS, VHDs do Azure, OVAs do vSphere e contêineres Docker.

A funcionalidade resolve um gap estrutural na cadeia de confiança: antes, equipes de aplicações podiam consumir uma golden image validada por segurança, mas remover ou ignorar passos críticos ao personalizar seu template, gerando 'imagens sombra' não conformes. Agora, o HCP Packer rastreia a versão exata dos provisionadores forçados usados em cada build (ex.: enforced-provisioner-v2.3.1), registrando-a nos metadados da imagem juntamente com commit Git, timestamp e hash SHA-256 — dados essenciais para auditorias de PCI-DSS, LGPD e ISO/IEC 27001.

Os provisionadores forçados transformam o HCP Packer de uma ferramenta de automação de builds em um mecanismo de política de segurança executável. Para equipes de plataforma, isso significa redução de até 70% no esforço operacional de revisão manual de templates, conforme relatos de clientes piloto da HashiCorp com grandes bancos brasileiros. Para equipes de segurança, é a primeira camada de 'shift-left compliance': vulnerabilidades como CVE-2024-3094 (XZ Utils) ou configurações inseguras de SSH podem ser mitigadas proativamente em tempo de build, não apenas em runtime. A integração nativa com o HCP Terraform permite acionar varreduras de SBOM com Trivy ou revogar imagens automaticamente após detecção de risco — fechando o ciclo de DevSecOps com evidência rastreável.

Desenvolvedores e engenheiros de confiabilidade (SREs) ganham previsibilidade: agora, qualquer alteração em um template Packer que ignore ou tente contornar um provisionador forçado falha na fase de validação do HCP Packer, com mensagem clara indicando qual política foi violada (ex.: 'Enforced provisioner "cis-hardening-v1.4" required but not declared'). Não há bypass possível via CLI local ou fork de repositório — a execução só prossegue se o bucket vinculado tiver provisionadores ativos e assinados digitalmente pela organização. Isso elimina discrepâncias entre ambientes de desenvolvimento, homologação e produção, alinhando todos à mesma baseline de segurança definida por plataforma. Além disso, o suporte a três versões principais do Packer (1.15.x, 1.14.x, 1.13.x) garante compatibilidade contínua com pipelines existentes, mesmo após o lançamento da versão 1.15.4 em 3 de junho de 2026.