世界を動かす技術を、日本語で。

Docker.io/Bitnamiの削除

概要

  • Bitnami のパブリックカタログ削除が 9月29日まで延期
  • 8月28日以降、 Docker Hub での新規イメージ・Helmチャート公開停止
  • 移行期間中に 「ブラウンアウト」 (一時的な利用不可)を複数回実施
  • Bitnami Secure Images への移行推奨、もしくは Bitnami Legacy Registry 利用
  • セキュリティとコンプライアンス強化のための 構造的な変更

Bitnamiパブリックカタログ削除延期とブラウンアウト実施

  • Bitnamiチーム は、影響評価とコミュニティのフィードバックを受け、 docker.io/bitnami のパブリックカタログ削除を 9月29日まで延期
  • 移行周知のため、 数回のブラウンアウト (一部イメージを24時間非公開)を実施予定
    • 8月28日 08:00 UTC ~ 8月29日 08:00 UTC
    • 9月2日 08:00 UTC ~ 9月3日 08:00 UTC
    • 9月17日 08:00 UTC ~ 9月18日 08:00 UTC
  • 対象アプリケーションリストは各ブラウンアウト当日に公式チャネルで発表

8月28日以降のBitnamiイメージ・チャート提供体制

  • Docker Hub への新規Bitnamiコンテナイメージ・Helmチャートの OCI形式公開を停止
  • コンテナやHelmチャートの ソースコードはGitHub で引き続き Apache 2.0ライセンス で公開
  • 既存のOCIレジストリは Bitnami Legacy へアーカイブ
  • 新しいセキュアなイメージは Bitnami Secure Images (BSI) として提供

移行方法と選択肢

  • 既存ユーザー は、パイプライン・ミラー・Kubernetesクラスタの pull先を新レジストリへ更新 必要
  • 選択肢
    • Bitnami Secure Images (推奨)
      • セキュリティ・コンプライアンス強化
      • 一部イメージは 無償 (開発/テスト用途限定)、全カタログ利用や安定タグは 商用サブスクリプション 推奨
      • Debianベース から Photon Linuxベース への移行を推奨
      • 主なメリット
        • CVE大幅減少 (例:100件超→0件も)
        • VEX/KEV/EPSSスコア による脆弱性管理
        • 専用OCIレジストリ での提供(パブリックレジストリのレート制限回避)
        • カスタマイズ可能なSLSA 3ソフトウェアファクトリ
        • エンタープライズサポート 提供
    • Bitnami Legacy Registry
      • 移行準備のための 一時的な選択肢
      • サポート対象外 ・脆弱性未修正のリスク
      • 利用中のイメージは 自社レジストリへコピー 推奨

セキュリティ・コンプライアンス強化の必要性

  • 2019~2023年で 悪意あるOSSパッケージ数が24万超 に増加(Sonatype調査)
  • AIやMCPモデル の普及によりOSS利用量が今後も増加
  • EUサイバー・レジリエンス法 により、OSSの安全性証明・ドキュメント要求が強化
  • Bitnami Secure Images の導入は、今後のOSS利用におけるリスク対策と適合

Bitnamiに関する競合他社の主張と事実

  • 一部競合が「 Bitnamiが無償イメージ・チャートを公開停止」と主張
  • 実際は、 Helmチャートのソースは引き続きGitHubで無償公開
  • OCIアーティファクトのビルド・ホスティング体制 が変更
  • 運用コスト増大 のため、サブスクリプションによる持続可能性確保
  • セキュリティ・OSS戦略の向上 も同時に実現

8月28日以降の段階的変更内容

  • 8月28日から数週間かけて、既存イメージを段階的に削除
  • 84TBのOCIコンテンツ のため、削除タイミングは画像ごとに異なる
  • 重要なビジネス用途のイメージは早急に代替レジストリへ移行 推奨
  • Bitnami Secure Images はDebianイメージと同名のため、同一レジストリ内で共存不可
  • 今後はセキュリティ強化されたPhotonイメージの利用推奨

まとめ・推奨アクション

  • Bitnami Secure Images への移行で、 セキュリティ・運用継続性の両立 が可能
  • Bitnami Legacy Registry一時的な措置 として活用
  • 詳細は 公式FAQ や各種公式チャネルで随時確認

#bitnami #Security #helm

Hackerたちの意見

VMwareのライセンス変更とこれを見てると、BroadcomがOracleを最も悪徳なソフトウェアベンダーの座から引きずり下ろそうとしてるみたいだね。最近、このポジションを巡る競争が激化してるのが残念だわ。

じゃあ、無料のネットワークエグレスのスポンサーをやめることにしたから悪徳ってこと?

Broadcomがどれだけ悪徳かを理解すると、これにはあまりワクワクしなくなるね。それでも、短期的にはみんな勝ちってことになるのかな。

BroadcomがSpringエコシステムをどうやってマネタイズするのか、まだ様子見中なんだよね。これってほとんどの大企業で広く使われてるから、正直避けられない気がする。

ちょっと調べてみたけど、ライセンスは年間5万ドル以上かかるみたい。俺はターゲット市場じゃないな。 ;)

TFAからの引用 > BSIはオープンソースのセキュリティとコンプライアンスを民主化していて、億単位の契約を結ぶ必要がないようにしている。確かに5万ドルは億単位の契約じゃないけど、"民主化"なんて言えるほどのものでもないよね。

新しいユーザーベースを獲得せずに利益を上げる最も簡単な戦略だね、笑 :P

いろんな専門用語を理解するのはちょっと難しいけど、彼らが提供しているものを無料で引き上げているだけだというのが私の理解。Dockerファイルはまだ手に入るけど(すべてのタグを提供しているかは不明だけど)、Docker Hubのイメージも使えるよ。でも、彼らが提供しているのは「開発」用と見なされていて、何に使ってもいいわけじゃないんだ。つまり、彼らが定義する「本番環境」を提供していないから、本番環境ではないってこと。無料で提供されるのは「最新」のもので、Debianシステム上で動いている。彼らが「安全」として提供するのはPhoton OS上で動いていて、セキュリティパイプラインを通過するものだよ。提供しているサービス以外は何も隠していないと思う。

理解できる。俺の見方では、ソフトウェアプロジェクトには (1) 自分でメンテするか、誰かにメンテを頼むコードと、(2) 最終的に互換性のないバージョンに置き換えなきゃいけない使い捨てコードがある。使い捨てコードをつなぎ合わせるプロジェクトに問題はないと思う。だって、それは大抵うまくいく賭けだから。でも、そのコードがサードパーティの依存関係から来てるなら、その依存関係(や互換性のあるフォーク)が自分のプロジェクトより長生きするなんて思わない方がいいし、開発者がプロジェクトを維持するために何のインセンティブも持ってないってこともね。

Broadcomがモバイル向けのパディングをうまくできないのを見るのは悲しいけど…本題に戻ると、docker.io/bsiを作って、/bitnamiは新しいアップデートなしでそのままにしておけばいいんじゃない?そうすれば何も壊れないし、アップグレードもできなくなるだけだよ。そしたら、理由がわかるし、自分のビルドやBSIにシームレスに切り替えられるかもしれない。

「bitnami」はブランド価値があるからね。新しいサービスを売るためにその名前を再利用するのはビジネス的に理にかなってるよ。

彼らのやってることを軽視したくはないし、価値がないわけでもないけど、オラクル方式で商業化を期待してるのがちょっとショックだね。オープンソースソフトウェアを「パッケージ化」して、それに貢献しないっていうのもね。それに、結局これがどれだけ著作権で保護されるのかも疑問だわ。プライベートに保つなら理解できるけど、ここでは基本的に各パッケージは数行のレシピで、彼らが所有してないコンポーネントをビルドするためのものだから。まるで「make build」っていう行を著作権で保護しようとしてるみたいだね。それに、パッケージ化の方法はどれも明白なものだし。ビルドされたアーティファクトについて言えば、通常、サードパーティのオープンソースソフトウェアのバイナリ配布は、ソースコードへのアクセス権、ビルドのための指示、再配布の権利をユーザーに保持させるべきだよね…。

Hacker Newsで議論の続きを見る