ハクソク

世界を動かす技術を、日本語で。

Docker.io/Bitnamiの削除

271日前原文(community.broadcom.com)

概要

  • Bitnami のパブリックカタログ削除が 9月29日まで延期
  • 8月28日以降、 Docker Hub での新規イメージ・Helmチャート公開停止
  • 移行期間中に 「ブラウンアウト」 (一時的な利用不可)を複数回実施
  • Bitnami Secure Images への移行推奨、もしくは Bitnami Legacy Registry 利用
  • セキュリティとコンプライアンス強化のための 構造的な変更

Bitnamiパブリックカタログ削除延期とブラウンアウト実施

  • Bitnamiチーム は、影響評価とコミュニティのフィードバックを受け、 docker.io/bitnami のパブリックカタログ削除を 9月29日まで延期
  • 移行周知のため、 数回のブラウンアウト (一部イメージを24時間非公開)を実施予定
    • 8月28日 08:00 UTC ~ 8月29日 08:00 UTC
    • 9月2日 08:00 UTC ~ 9月3日 08:00 UTC
    • 9月17日 08:00 UTC ~ 9月18日 08:00 UTC
  • 対象アプリケーションリストは各ブラウンアウト当日に公式チャネルで発表

8月28日以降のBitnamiイメージ・チャート提供体制

  • Docker Hub への新規Bitnamiコンテナイメージ・Helmチャートの OCI形式公開を停止
  • コンテナやHelmチャートの ソースコードはGitHub で引き続き Apache 2.0ライセンス で公開
  • 既存のOCIレジストリは Bitnami Legacy へアーカイブ
  • 新しいセキュアなイメージは Bitnami Secure Images (BSI) として提供

移行方法と選択肢

  • 既存ユーザー は、パイプライン・ミラー・Kubernetesクラスタの pull先を新レジストリへ更新 必要
  • 選択肢
    • Bitnami Secure Images (推奨)
      • セキュリティ・コンプライアンス強化
      • 一部イメージは 無償 (開発/テスト用途限定)、全カタログ利用や安定タグは 商用サブスクリプション 推奨
      • Debianベース から Photon Linuxベース への移行を推奨
      • 主なメリット
        • CVE大幅減少 (例:100件超→0件も)
        • VEX/KEV/EPSSスコア による脆弱性管理
        • 専用OCIレジストリ での提供(パブリックレジストリのレート制限回避)
        • カスタマイズ可能なSLSA 3ソフトウェアファクトリ
        • エンタープライズサポート 提供
    • Bitnami Legacy Registry
      • 移行準備のための 一時的な選択肢
      • サポート対象外 ・脆弱性未修正のリスク
      • 利用中のイメージは 自社レジストリへコピー 推奨

セキュリティ・コンプライアンス強化の必要性

  • 2019~2023年で 悪意あるOSSパッケージ数が24万超 に増加(Sonatype調査)
  • AIやMCPモデル の普及によりOSS利用量が今後も増加
  • EUサイバー・レジリエンス法 により、OSSの安全性証明・ドキュメント要求が強化
  • Bitnami Secure Images の導入は、今後のOSS利用におけるリスク対策と適合

Bitnamiに関する競合他社の主張と事実

  • 一部競合が「 Bitnamiが無償イメージ・チャートを公開停止」と主張
  • 実際は、 Helmチャートのソースは引き続きGitHubで無償公開
  • OCIアーティファクトのビルド・ホスティング体制 が変更
  • 運用コスト増大 のため、サブスクリプションによる持続可能性確保
  • セキュリティ・OSS戦略の向上 も同時に実現

8月28日以降の段階的変更内容

  • 8月28日から数週間かけて、既存イメージを段階的に削除
  • 84TBのOCIコンテンツ のため、削除タイミングは画像ごとに異なる
  • 重要なビジネス用途のイメージは早急に代替レジストリへ移行 推奨
  • Bitnami Secure Images はDebianイメージと同名のため、同一レジストリ内で共存不可
  • 今後はセキュリティ強化されたPhotonイメージの利用推奨

まとめ・推奨アクション

  • Bitnami Secure Images への移行で、 セキュリティ・運用継続性の両立 が可能
  • Bitnami Legacy Registry一時的な措置 として活用
  • 詳細は 公式FAQ や各種公式チャネルで随時確認

#bitnami #Security #helm

Hackerたちの意見

VMwareのライセンス変更とこれを見てると、BroadcomがOracleを最も悪徳なソフトウェアベンダーの座から引きずり下ろそうとしてるみたいだね。最近、このポジションを巡る競争が激化してるのが残念だわ。

じゃあ、無料のネットワークエグレスのスポンサーをやめることにしたから悪徳ってこと?

Broadcomがどれだけ悪徳かを理解すると、これにはあまりワクワクしなくなるね。それでも、短期的にはみんな勝ちってことになるのかな。

BroadcomがSpringエコシステムをどうやってマネタイズするのか、まだ様子見中なんだよね。これってほとんどの大企業で広く使われてるから、正直避けられない気がする。

ちょっと調べてみたけど、ライセンスは年間5万ドル以上かかるみたい。俺はターゲット市場じゃないな。 ;)

TFAからの引用 > BSIはオープンソースのセキュリティとコンプライアンスを民主化していて、億単位の契約を結ぶ必要がないようにしている。確かに5万ドルは億単位の契約じゃないけど、"民主化"なんて言えるほどのものでもないよね。

新しいユーザーベースを獲得せずに利益を上げる最も簡単な戦略だね、笑 :P

いろんな専門用語を理解するのはちょっと難しいけど、彼らが提供しているものを無料で引き上げているだけだというのが私の理解。Dockerファイルはまだ手に入るけど(すべてのタグを提供しているかは不明だけど)、Docker Hubのイメージも使えるよ。でも、彼らが提供しているのは「開発」用と見なされていて、何に使ってもいいわけじゃないんだ。つまり、彼らが定義する「本番環境」を提供していないから、本番環境ではないってこと。無料で提供されるのは「最新」のもので、Debianシステム上で動いている。彼らが「安全」として提供するのはPhoton OS上で動いていて、セキュリティパイプラインを通過するものだよ。提供しているサービス以外は何も隠していないと思う。

理解できる。俺の見方では、ソフトウェアプロジェクトには (1) 自分でメンテするか、誰かにメンテを頼むコードと、(2) 最終的に互換性のないバージョンに置き換えなきゃいけない使い捨てコードがある。使い捨てコードをつなぎ合わせるプロジェクトに問題はないと思う。だって、それは大抵うまくいく賭けだから。でも、そのコードがサードパーティの依存関係から来てるなら、その依存関係(や互換性のあるフォーク)が自分のプロジェクトより長生きするなんて思わない方がいいし、開発者がプロジェクトを維持するために何のインセンティブも持ってないってこともね。

Broadcomがモバイル向けのパディングをうまくできないのを見るのは悲しいけど…本題に戻ると、docker.io/bsiを作って、/bitnamiは新しいアップデートなしでそのままにしておけばいいんじゃない?そうすれば何も壊れないし、アップグレードもできなくなるだけだよ。そしたら、理由がわかるし、自分のビルドやBSIにシームレスに切り替えられるかもしれない。

「bitnami」はブランド価値があるからね。新しいサービスを売るためにその名前を再利用するのはビジネス的に理にかなってるよ。

彼らのやってることを軽視したくはないし、価値がないわけでもないけど、オラクル方式で商業化を期待してるのがちょっとショックだね。オープンソースソフトウェアを「パッケージ化」して、それに貢献しないっていうのもね。それに、結局これがどれだけ著作権で保護されるのかも疑問だわ。プライベートに保つなら理解できるけど、ここでは基本的に各パッケージは数行のレシピで、彼らが所有してないコンポーネントをビルドするためのものだから。まるで「make build」っていう行を著作権で保護しようとしてるみたいだね。それに、パッケージ化の方法はどれも明白なものだし。ビルドされたアーティファクトについて言えば、通常、サードパーティのオープンソースソフトウェアのバイナリ配布は、ソースコードへのアクセス権、ビルドのための指示、再配布の権利をユーザーに保持させるべきだよね…。

彼らが書いた「Makefile」や著作権のことは、かなり大変で、たくさんの人月の努力がかかってるよ。環境変数だけでいろんなソフトウェアを設定して使えるようにするのは簡単なことじゃない。例えば、https://github.com/bitnami/containers/tree/main/bitnami/post... を見てみて。彼らの現在のユーザーベースの中には、商業ライセンスの価値があるかもしれないね。

もっと価値があるのは、彼らが提供しているヘルムチャートだと思うけど、これも廃止されつつあるね。イメージ自体には公式の代替品があるし(例えば、https://hub.docker.com/u/bitnami を見たら、公式のソースからNodeやPostgresのイメージを使わない理由がないよね)。実際にどれだけの人が彼らのヘルムチャートを使っていたのかは分からないけど。

ただし、新しいチャートやイメージを維持・構築する専任のエンジニアチームを支えるためには、組織がOCIレジストリにホストされたイメージやチャートを必要とする場合、サブスクリプションが必要になる。これはすごく naive な考えだよ。Bitnamiのイメージは善意のサインで、実際に堅牢なイメージが必要な場所への足がかりだった。市場にあるより良い選択肢には競争できなかっただけ。これは解決策じゃなくて、むしろ強要だよ。Terraform Cloudがやったことと同じで、その製品はあまり調子良くないと思う。 > 本質的に、Bitnamiは長年インターネットのJenkinsだったけど、これが持続不可能になってしまった。他人のソフトウェアなのに、Bitnamiが「タダ乗りしてる」と誰かを非難するのはおかしいよ。彼らの唯一の貢献は、OperatorFrameworkの能力スケールでレベル2に相当するかもしれないソフトウェアに設定オプションを追加することだけだからね。普通はレベル1くらいだよ。[1]: https://operatorframework.io/operator-capabilities/

2025年にインフラ企業を立ち上げるのは難しいね。以前は、収益よりも開発者のトラクションを優先してたけど、2025年ではそれが通用しない。最初からお金を稼ぐことが求められて、企業顧客だけが残るけど、その分野は競争が激しいから大変だよ。

コミュニティが再パッケージするかもしれないね。Bitnamiはただパッケージしてるだけだから。

「他の人のソフトウェアだから、Bitnamiが誰かをタダ乗りだと非難するのはおかしい。彼らの唯一の貢献は、私が擁護しない企業に対して設定オプションを追加することだけだから。」この文はすごく傲慢に感じる。彼らはそれを無料で提供してたし、使うことができた。もう無料では提供しないってことだから、他のものに移行するか、自分でメンテナンスするしかない。「あなたがやった基本的な作業のおかげで、今使えるよ」と感謝するしかないね。

もし彼らの貢献が最小限なら、この変更の影響もそれに応じて小さいはずじゃない?でも、どうやら影響が大きいみたいで、長い間問題になってるのが一番厄介だよね。

それは恐喝だね 「誰かが無料で何かを提供してたけど、もうやりたくないって決めた」っていうのに対して、そんな見解はすごいね。君には残念だけど、今は自分で仕事しなきゃいけないみたいだね。

結局、CSRのためにやらざるを得ないし、CSRのおかげでできるんだよね。EUのサイバー居住法はオープンソースエコシステムを大きく変える可能性がある。この新しい規制は、オープンソースソフトウェアに基づく商業提案を行うあらゆる団体に対して、セキュリティのデューデリジェンスを求めている。買う側は注意が必要だよ!企業にとっては、使うオープンソースコンポーネントについて徹底的な文書化とセキュリティを行うか、財団や企業が支援する製品を使う必要があるってこと。純粋な非商業オープンソースプロジェクトはこの法律の対象外だからね。これはチャンスだと思ってる。私たちはまだオープンで自由なソフトウェアを作れるし、自分たちの仕事で利益を上げている人たちから金銭的な報酬を求めることもできる。別の団体を通じて必要なコンプライアンスフレームワークをサービスとして提供できるんだ。

それには同意できないな。オープンソースプロジェクトに基づく商業提供のためには、CSRのデューデリジェンスをしっかりやらなきゃいけないから、違いはないよ。オープンソースで無料の部分があっても、努力は必ず必要なんだ。

彼らはそうする必要はないよ。商業提供のために有料のセキュアイメージを作って、他のものは無料にしておけばいいんだ。もし気が向けば、セキュアイメージをみんなに無料で提供することもできるしね。

ほぼ2年前に企業に移行を勧めたんだけど、企業の時間で言うと、そのプロジェクトはほぼ完了ってことだね。だから、今はかなり気分がいいよ。

Bitnamiの意味が全然わからなかった。彼らのイメージやパッケージを試すたびに、カスタムや変なものがいっぱい詰まった複雑なゴチャゴチャで、本当に扱いにくいんだよね。馴染みのあるベースに基づいたシンプルなソフトウェアパッケージじゃなくて、変な企業向けのゴミみたいなのが出てきて、カスタマイズするのが悪夢になる。

100%同意。全ての慣習を無視して、自分たちの壊れやすいスクリプトを作る意味がわからない。彼らのイメージは、設定するためにドキュメントが必要だから、上流のドキュメントが全然役に立たないんだよね。

これらのコンベンションに関するリソースって何かある?みんなプロジェクトの画像を元に、自分たちでカスタマイズした画像を作ってるみたいだね。

前の仕事では、できるだけBitnamiのコンテナイメージやHelmチャートを避けてたよ。AWSのコンサルタントと一緒に、Karpenter Autoscaler、Envoy Gateway API、Gatekeeper OPA、Loki/Prometheus/Grafanaスタック、EDB Postgres Operatorを使って、EKSクラスターに一つの包括的なTerraformスクリプトでデプロイしたんだ。できるだけ一つの会社に依存しないようにしてたよ。もしその会社が別のクラウドプロバイダーやオンプレミスのKubernetesクラスターに移行することになったら、S3をMinIOに置き換えるプランBも用意してた。みんなには、最初からクラウドベンダーロックインを避けることをおすすめするよ。初期の手間はかかるけど、できるだけKubernetes上で動かすようにした方がいいよ。