GN⁺ 8달전 | parent | ★ favorite | on: docker.io/Bitnami 삭제(community.broadcom.com)
Hacker News 의견
  • 공개 소프트웨어를 ‘패키징’만 하면서 기여는 안 하고 Oracle 스타일로 상업적으로 전환할 생각이라니 좀 놀라움이 있음, 하지만 그들의 작업을 깎아내릴 의도는 없음임, 실제로 저작권 주장할 수 있는 부분이 얼마나 되는지 의문임, 대개 각 패키지는 몇 줄짜리 조립법일 뿐이고 사실상 ‘make build’ 같은 명령어 라인에 저작권을 걸려는 느낌임, 그리고 만들어진 바이너리 배포도 오픈소스 라이선스라면 유저가 소스코드, 빌드 방법, 재배포 권리 다 가져야 하는 것임
    • Bitnami가 만든 Makefile 등은 상당한 노력이 들어간 비트이며, 다양한 소프트웨어를 환경 변수만으로 쓸 수 있게끔 만드는 작업은 결코 쉬운 일이 아님임, 예시 링크 참고해볼 만함, 현재 일부 유저층에게 상업적 라이센스는 충분히 가치가 있음임
    • 실제로 더 중요한 가치는 Helm charts일 가능성이 높음, 하지만 공식 이미지들이 이미 대체재로 나와 있어서 특별히 Bitnami의 Node나 Postgres 이미지를 써야 할 이유는 딱히 없어서 대부분의 사람들이 실제로 얼마나 Bitnami의 Helm charts를 썼는지는 의문임
  • Bitnami가 제공했던 hardened images는 goodwill의 징표였고, 진짜 필요한 곳에 첫 발을 딛게 해주는 역할이었음, 하지만 시장에서 더 나은 옵션들과 경쟁이 안 되었던 것임, 이 ‘서브스크립션’ 전환이 해결책이 아니라 마치 강매 같음, Terraform Cloud가 했던 것과 같은데 그쪽도 요즘 상황이 나쁘다고 봄임, Bitnami의 공헌은 사실상 config 옵션 조금 넣는 수준에 불과해서 OperatorFramework capability로 보면 겨우 level 2 내지 1 정도 수준임 참고 링크
    • Bitnami가 무료로 제공하다 이제 그만둬서, 사용자가 대체할 것을 찾아야 하는 상황을 '강매'라고 표현하는 건 지나치다고 생각함, 무료로 해줬던 것만 해도 고맙게 여길 만한 일임
    • 무료로 주던 걸 안 주겠다고 한 게 강매라니 극단적인 표현임, 이제 직접 해야 할 게 생겨서 아쉬운 감정만 남은 것임
    • Broadcom이 어떤 회사인지 혼동이 있는 것 같음, Broadcom은 '장기적 건강'에 관심이 없는 기업 임, 제품을 인수하면 직원 90% 해고, 라이선스와 지원 비용 2~100배 인상하는 방식임, Fortune 500 기업들이 쉽게 빼지 못하는 특성을 이용해 5년 정도 계약으로 쭉 돈을 뽑아냄, 시장 반발에도 신경 쓰지 않고 법적으로 다퉈도 결과적으로 가격 인상 효과는 남기는 전략임
    • 2025년에는 인프라 회사로서 개발자 사이에서 인기를 먼저 쌓은 후 매출로 이어가는 전략은 통하지 않음, 처음부터 매출을 만들어야 하고 결국 엔터프라이즈 시장만이 목표임, 모두가 그 좁은 시장을 차지하려 경쟁하는 구조임
    • 그들이 추가한 가치는 아주 작지만, 이제 그거라도 대체하기 힘들어서 고생하는 사용자들은 뭘 의미하는지 생각해 볼 문제임
  • 결국 CSR(기업의 사회적 책임) 때문이기도 하고, CSR 덕분에 가능한 전환이기도 함, EU Cyber Residence Act 규제로 오픈소스 생태계가 크게 변화할 수 있음, 이제 상업적으로 오픈소스 기반 상품을 제공하는 회사는 보안·문서화 규정을 엄격히 지켜야 하므로, 순수 오픈소스 프로젝트는 해당되지 않지만 돈을 받고 배포하면 법적 부담이 생김, 결국 컴플라이언스 프레임워크를 서비스로 파는 게 새로운 기회로 보임
    • CSR 때문에 반드시 유료 보안 이미지만 공급해야 하는 것은 아님임, 마음만 먹으면 공짜로 제공해도 되고, 상업용만 유료로 가도 됨
    • 상업용으로 오픈소스 플러스 서비스를 판다면 CSR에 맞춘 컴플라이언스 작업은 필수임, 결국 오픈이든 상업이든 같은 노력 필요함
  • 대안이 필요하다면, Twistlock 팀에서 Minimus를 런칭함, 소스에서 바로 빌드하고 거의 취약점이 없는 이미지를 지속 공급함, Bitnami와 동일하게 drop-in replacement도 제공함, 사용법·툴·고객 사례 등 궁금한 점 있으면 언제든 질문 환영임, 비교 및 안내 포스트 참고
    • Minimus의 가입 폼은 "개인"과 "조직"을 구분하지만 회사명 입력이 필수인 점이 이상함, 마케팅 목적으로만 보임
    • 블로그에서 Minimus와 Bitnami Secure Images 비교 사례를 조금 더 이해하기 쉽게 정리하겠음: Bitnami Secure Images는 Photon 기반으로 빌드되고, 취약점이나 새 버전 릴리즈가 있으면 자동으로 빌드·테스트·배포되고, 사용자는 최신판만 쓰면 되므로 CVE 모니터링 걱정과 수동 패치 필요 없음임
    • 가격이 제일 큰 이슈임, Chainguard나 Docker secure images도 가격 듣고 관심을 접었음, Minimus 가격 정보가 웹사이트 어디에도 없는데 아마 대부분 사용할 수 없을 만큼 비싼 것 아닌지 의구심 생김
    • Minimus가 OS인지 궁금함, Bitnami는 여전히 오픈소스 프로젝트로서 소스에서 직접 이미지 빌드할 수 있음
    • Minimus 쪽에 docker-credential helper 직접 구현, Chainguard의 docker-credential-cgr 참고해서 제공해주면 좋겠음, 그냥 "docker는 credential store를 지원하니 알아서 하라"는 식의 안내로 끝내지 말았으면 함 레퍼런스
  • 라이선스 비용을 보니 연간 $50,000 이상이라서 내 타깃 시장은 아님임
    • 공식 설명에 ‘BSI가 오픈소스 보안·컴플라이언스를 민주화한다’고 쓰여있지만, $50,000도 결코 ‘민주화’ 수준은 아니라고 생각함
    • 용어가 혼란스럽긴 하지만, 실제로는 무료로 제공하던 다양한 이미지를 유료로 전환중임, 여전히 Docker 파일은 받을 수 있고 Docker Hub 이미지도 쓸 수는 있음, 다만 무료 제공분은 ‘개발용’(production 목적으로는 제한)이고, 진짜 ‘secure’ 이미지는 Photon OS에서 빌드되고 보안 프로세스까지 거침, 제공 서비스 외에는 막는 건 없음임
    • 기존 유저 베이스를 업데이트 없이 방치한 채로 수익 내는 가장 쉬운 전략임, 약간 웃긴 지점임
  • 거의 2년 전 엔터프라이즈에서 Bitnami에서 옮기라고 권유한 덕에, 지금쯤 그 프로젝트가 막 끝날 시점이라서 제대로 예측했다는 보람이 큼
  • VMware 라이선스 변화와 함께 Broadcom이 Oracle 자리를 노리는 게 분명해 보임, 요즘 경쟁이 격해지는 점이 아쉬움임
    • Broadcom이 Spring 생태계를 어떻게 수익화할지 기대(?)중임, 사실상 대기업은 모두 Spring을 쓰고 있어서 조만간 필연적으로 일어날 일이라 봄
    • Broadcom은 실제로는 Avago Technologies가 2015~2016년에 이름만 인수해 쓴 것임, 진짜 Broadcom의 영역과 IP는 이미 대부분 팔렸음
    • Broadcom이 실제로 얼마나 '악랄'한지 알고 나면 이 이슈 자체도 별 일 아닌 것처럼 느껴질 수도 있음, 그래도 당장엔 사용자 입장에선 이득 얻을 수도 있음
    • Bitnami의 엔지니어 상당수는 이런 결정에 다 동의하지 않을 것 같음
    • Microsoft가 존재하는 한, Broadcom과 Oracle 등은 ‘악의 순위’ 2위를 갖고 경쟁하는 상황임
  • 소프트웨어 프로젝트는 (1) 스스로 관리하거나 돈 주고 유지보수하는 코드, (2) 언젠가 호환 안 되는 버전으로 대체해야 할 잡코드로만 이루어짐, 잡코드만 이어붙이는 것도 충분히 현명한 도박이지만, 의존성 소스가 타사라면 절대 그들이 반영구적으로 유지보수해 줄 것이라 기대하면 안 됨임, 해당 프로젝트 생명주기가 의존성보다 짧을 거라 감안해야 진짜 리스크 관리임
  • Broadcom이 모바일용 패딩 조차 제대로 못하는 건 아쉬움임, 그나저나 docker.io/bsi를 따로 만들고 /bitnami는 구버전 그대로 두면 깨지는 건 없으니 사용자도 알아서 전환할 수 있음, 업그레이드가 안 되는 이유를 자연스럽게 안내할 수 있음
    • Bitnami에서 무료로 보안 업데이트 중단 의사를 표시하면, 사용자가 직접 위험수용에 동의하게끔 했어야 함, 충분한 사전 공지 후 /bitnami/bitnamilegacy로 옮기는 정도도 괜찮은 방식임
    • "bitnami" 이름 자체에 브랜드 가치가 있으니, 새 서비스 팔 때 이 네이밍을 계속 쓰는 게 비즈니스적으로 맞는 선택임
    • Broadcom의 패딩 문제는 Rally의 UI 디자인이 너무 오래된 것도 같은 맥락으로 느껴짐
  • Bitnami의 이미지와 패키지 컨벤션을 도무지 이해 못하겠음, 실제로 써보면 너무 복잡하고 커스텀 규칙이 번거로워서 별로였음, 평범한 베이스로 된 간단한 패키지가 아니라 이상한 구조로 되어 있고, 뭔가 바꾸려고 하면 혼돈 그 자체임
    • 그들만의 규칙 다 무시하고 복잡한 스크립트 얹어놨는데, 모든 이미지가 따로 문서를 읽어야만 쓸 수 있음, 기본 공식문서와 맞지 않아서 답답했음
    • 한때는 rootless로 동작하는 베이스 이미지를 쉽게 얻으려 Bitnami 이미지를 썼음, 예전에는 공식 저장소에서 postgres 등 rootless 설정이 어려웠기 때문임, 다만 Bitnami 이미지마다 uid나 config 경로 등이 다 달라서 항상 도커파일을 일일이 읽어봐야 했음
    • Bitnami는 원래 Windows에서 Wordpress를 돌리는 용도로 인기였음, Windows Server에서 바로 쓸 수 있게 만들어줘서 그 시절엔 유용했음, 요즘은 그걸로 일하면 해고감일지 몰라도, 당시엔 Linux 대중화가 늦었으니 필요한 서비스였음
    • 이런 패키징 컨벤션에 참고할 만한 리소스가 있는지 궁금함, 대부분은 프로젝트 공식 이미지를 베이스로 각자 커스텀해서 자체 이미지를 만드는 게 관행인 것으로 느낌