# docker.io/Bitnami 삭제 > Clean Markdown view of GeekNews topic #22803. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=22803](https://news.hada.io/topic?id=22803) - GeekNews Markdown: [https://news.hada.io/topic/22803.md](https://news.hada.io/topic/22803.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-08-30T10:20:08+09:00 - Updated: 2025-08-30T10:20:08+09:00 - Original source: [community.broadcom.com](https://community.broadcom.com/tanzu/blogs/beltran-rueda-borrego/2025/08/18/how-to-prepare-for-the-bitnami-changes-coming-soon) - Points: 2 - Comments: 2 ## Topic Body - Bitnami 팀이 **docker.io/bitnami** 공개 카탈로그 삭제 시점을 **9월 29일**로 연기함 - 삭제 전 사용자 적응을 돕기 위해 여러 차례 **브라운아웃(일부 이미지 임시 차단)** 을 진행할 예정임 - 앞으로 Bitnami의 **컨테이너 이미지와 Helm 차트**는 강력한 보안 기능이 적용된 **Bitnami Secure Images(BSI)** 또는 Bitnami Legacy Registry로 옮겨짐 - BSI 이미지는 개발·테스트 용도로는 무료 제공되나, 전체 이미지와 장기 지원이 필요할 경우 **유료 구독**이 필요함 - 오픈소스 공급망 보안 및 규제 변화 대응을 위해, 기존 방식에서 전환이 필요해짐 --- ### Bitnami docker.io 공개 카탈로그 삭제 일정과 대응 안내 #### 업데이트 - Bitnami 팀은 **커뮤니티 의견과 영향 평가** 끝에, **docker.io/bitnami** 공개 카탈로그 삭제 시점을 **2024년 9월 29일**로 연기함 - 레지스트리 삭제에 앞서, 사용자가 변화를 인지할 수 있도록 **브라운아웃(일부 컨테이너 이미지 24시간 임시 차단)** 을 3차례 실시 예정임 - 8월 28일 08:00 UTC ~ 8월 29일 08:00 UTC - 9월 2일 08:00 UTC ~ 9월 3일 08:00 UTC - 9월 17일 08:00 UTC ~ 9월 18일 08:00 UTC - 각 브라운아웃마다 영향을 받는 이미지는 당일 공지 예정임 - 8월 28일부터 Bitnami 컨테이너 이미지 및 Helm chart를 Docker Hub에 새로운 형식(OCI)으로 더 이상 배포하지 않음 - 컨테이너 및 Helm chart의 소스 코드는 GitHub에서 Apache 2.0 라이선스로 계속 제공됨 #### 변화 내용 - 8월 28일부터 Bitnami는 기존 **OCI 레지스트리(chart와 이미지)** 를 **Bitnami Legacy**로 옮기고, 이후에는 보안이 강화된 신규 이미지로 전환함 - 현재 이미지를 사용하는 경우, 자동화 파이프라인·내부 미러·Kubernetes 클러스터의 **이미지 Pull 경로**를 새로운 위치로 변경해야 함 - 사용자가 선택할 수 있는 옵션 1. [Bitnami Secure Images(BSI)](https://bitnami.com)로 전환 2. Bitnami Legacy Registry로 전환(임시) - 시스템 지속성과 기능 유지를 위해 **Bitnami Secure Images(BSI)로의 전환을 권장**함 - BSI를 사용하면 **강화된 이미지**를 통해 보안 및 컴플라이언스 대응력이 향상되는 장점이 있음 #### Bitnami Secure Images(BSI)로의 전환 - 일부 BSI 이미지는 개발 및 테스트 용도로는 무료 제공이나, 전체 카탈로그·안정적 태그·장기 지원 버전 등은 **유료 구독 시 이용 가능** - BSI 구독자는 앞으로도 **전체 Bitnami Debian 기반 이미지 카탈로그**와 업데이트를 받을 수 있음 - 더욱 강화된 **Photon Linux 기반 이미지**로 업그레이드 및 전환을 권장함 - 기존 Debian 이미지와 호환되며 Helm chart도 동일하게 사용 가능 - Photon 기반 이미지의 주요 이점 - **CVE 개수 대폭 감소(100+ 개→0개 사례도 있음)** - **VEX 진단 지원, KEV/EPSS 점수 연동**으로 취약점 관리 수월 - 강력한 보고 및 메타데이터 기능의 **셀프서비스 UI/API** - **공격 표면적을 83% 줄인** distroless 차트 등 고급 Helm chart 지원 - **SLSA 3 준수**(공급망 보안 표준) 소프트웨어 팩토리에서 빌드 이미지 커스터마이징 가능 - **고객 전용 프라이빗 보안 OCI 레지스트리** 제공(Docker Hub와 달리 Public/Rate limit 무관) - 90종 이상의 **OVA 포맷 VM 이미지** 이용 가능 - 패키징 및 설치 관련 엔터프라이즈 지원 #### Bitnami Legacy Registry로의 전환 - 임시방편으로 기존 Bitnami 사용자에게 **Bitnami Legacy Registry**를 제공함 - 지원하지 않는 아카이브 형식 이미지임(보안 패치 등 미적용) - 장기 제공 계획 없음: 빠르게 **취약점 누적 및 노후화** 우려 있음 - 임시적으로 활용한다면 필요한 이미지를 별도 **자체 레지스트리로 복사** 권장함 - 근본적으로는 새로운 보안 강화 시스템(BSI)로 빠른 전환이 필요함 #### 오픈소스 공급망 보안 및 컴플라이언스 전환의 필요성 - 최근 오픈소스 환경의 변화 및 **악성 패키지 급증**(2019~2023년 Sonatype 기준 245,000건 이상)이 주요 배경임 - 이는 직전 모든 기간의 2배 수준 - AI/모델 생태계 성장과 함께 오픈소스 활용이 크게 늘고 있음 → **공격 표면 및 리스크도 증가** - **Cyber Resilience Act(EU)** 와 같은 규제로 인해, 오픈소스 소프트웨어의 출처와 무결성에 대한 **입증 책임**이 생기고 있음 - Bitnami Secure Images 도입으로, 조직에게 **공급망 보안과 컴플라이언스** 확보를 손쉽게 구현할 수 있는 환경 제공함 - 낮은 TCO(총소유비용)로 **보안·규제 비용 부담 완화** - 복잡해진 오픈소스 소프트웨어 환경을 견고하게 관리할 수 있는 기반 마련 #### Bitnami 변경에 대한 경쟁사 주장 - 일부 경쟁사가 Bitnami가 "**무료 공개 이미지와 Helm 차트를 없앤다**"는 오해를 유발함 - 실제로 Helm 차트는 계속 **Apache 2 라이선스**로 **GitHub에 공개** - 체인지의 핵심은 OCI 아티팩트(빌드된 이미지)에 있음 - 대규모 빌드·배포 파이프라인, 레지스트리 운영 비용은 매우 크며, 저비용 공급이 불가능함 - Helm chart 소스(Debian 이미지 포함)는 누구나 무료 접근 가능함 - 기업이 직접 OCI 빌드 이미지가 필요한 경우 **BSI 구독**을 통해 지원받아야 하며, 이는 **보안 향상과 전략적 OSS 활용** 확보 수단임 #### 8월 28일 이후 구체적인 전환 방식 - 8월 28일부터 Bitnami repo는 **이미지 단계별 정리**를 시작하며, 모든 전환 작업이 일괄 발생하지 않음 - 수 주에 걸쳐 점진적으로 이미지 삭제/이전 진행 → 사용자 혼선을 최소화하려는 조치임 - 84TB의 대규모 OCI 콘텐츠 처리로 인해 **구체적으로 어느 이미지가 언제 삭제될지는 불확실**함 - 8월 28일부터 핵심 비즈니스 기능에 필요한 이미지는 **대체 레지스트리 준비 필요** - **새로운 Bitnami 레지스트리에는** 강화된 Photon 이미지가 이전 Debian 이미지와 **동일 이름**으로 업로드될 예정임 - 기존 사용자 및 신규 사용자는 보안 강화 이미지를 통해 최신 오픈소스 환경 요구에 대응 - [Bitnami FAQ](https://github.com/bitnami/charts/issues/35164)에서 전환에 대한 세부 정보를 확인할 수 있음 ## Comments ### Comment 43150 - Author: jic5760 - Created: 2025-08-31T00:30:49+09:00 - Points: 1 커뮤니티 내에서 Bitnami를 지속하기 위해 어제 Bitmoa를 만들었습니다. 목표는 최소한의 변경(ENV 정도)으로 bitnami 이미지를 대체하는 것입니다. https://github.com/bitmoa/containers (GH action 으로 이미지 빌드) https://github.com/bitmoa/charts ### Comment 43132 - Author: neo - Created: 2025-08-30T10:20:09+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=45048419) - 공개 소프트웨어를 ‘패키징’만 하면서 기여는 안 하고 Oracle 스타일로 상업적으로 전환할 생각이라니 좀 놀라움이 있음, 하지만 그들의 작업을 깎아내릴 의도는 없음임, 실제로 저작권 주장할 수 있는 부분이 얼마나 되는지 의문임, 대개 각 패키지는 몇 줄짜리 조립법일 뿐이고 사실상 ‘make build’ 같은 명령어 라인에 저작권을 걸려는 느낌임, 그리고 만들어진 바이너리 배포도 오픈소스 라이선스라면 유저가 소스코드, 빌드 방법, 재배포 권리 다 가져야 하는 것임 - Bitnami가 만든 Makefile 등은 상당한 노력이 들어간 비트이며, 다양한 소프트웨어를 환경 변수만으로 쓸 수 있게끔 만드는 작업은 결코 쉬운 일이 아님임, [예시 링크](https://github.com/bitnami/containers/tree/main/bitnami/postgresql) 참고해볼 만함, 현재 일부 유저층에게 상업적 라이센스는 충분히 가치가 있음임 - 실제로 더 중요한 가치는 Helm charts일 가능성이 높음, 하지만 공식 이미지들이 이미 대체재로 나와 있어서 특별히 Bitnami의 Node나 Postgres 이미지를 써야 할 이유는 딱히 없어서 대부분의 사람들이 실제로 얼마나 Bitnami의 Helm charts를 썼는지는 의문임 - Bitnami가 제공했던 hardened images는 goodwill의 징표였고, 진짜 필요한 곳에 첫 발을 딛게 해주는 역할이었음, 하지만 시장에서 더 나은 옵션들과 경쟁이 안 되었던 것임, 이 ‘서브스크립션’ 전환이 해결책이 아니라 마치 강매 같음, Terraform Cloud가 했던 것과 같은데 그쪽도 요즘 상황이 나쁘다고 봄임, Bitnami의 공헌은 사실상 config 옵션 조금 넣는 수준에 불과해서 OperatorFramework capability로 보면 겨우 level 2 내지 1 정도 수준임 [참고 링크](https://operatorframework.io/operator-capabilities/) - Bitnami가 무료로 제공하다 이제 그만둬서, 사용자가 대체할 것을 찾아야 하는 상황을 '강매'라고 표현하는 건 지나치다고 생각함, 무료로 해줬던 것만 해도 고맙게 여길 만한 일임 - 무료로 주던 걸 안 주겠다고 한 게 강매라니 극단적인 표현임, 이제 직접 해야 할 게 생겨서 아쉬운 감정만 남은 것임 - Broadcom이 어떤 회사인지 혼동이 있는 것 같음, Broadcom은 '장기적 건강'에 관심이 없는 기업 임, 제품을 인수하면 직원 90% 해고, 라이선스와 지원 비용 2~100배 인상하는 방식임, Fortune 500 기업들이 쉽게 빼지 못하는 특성을 이용해 5년 정도 계약으로 쭉 돈을 뽑아냄, 시장 반발에도 신경 쓰지 않고 법적으로 다퉈도 결과적으로 가격 인상 효과는 남기는 전략임 - 2025년에는 인프라 회사로서 개발자 사이에서 인기를 먼저 쌓은 후 매출로 이어가는 전략은 통하지 않음, 처음부터 매출을 만들어야 하고 결국 엔터프라이즈 시장만이 목표임, 모두가 그 좁은 시장을 차지하려 경쟁하는 구조임 - 그들이 추가한 가치는 아주 작지만, 이제 그거라도 대체하기 힘들어서 고생하는 사용자들은 뭘 의미하는지 생각해 볼 문제임 - 결국 CSR(기업의 사회적 책임) 때문이기도 하고, CSR 덕분에 가능한 전환이기도 함, EU Cyber Residence Act 규제로 오픈소스 생태계가 크게 변화할 수 있음, 이제 상업적으로 오픈소스 기반 상품을 제공하는 회사는 보안·문서화 규정을 엄격히 지켜야 하므로, 순수 오픈소스 프로젝트는 해당되지 않지만 돈을 받고 배포하면 법적 부담이 생김, 결국 컴플라이언스 프레임워크를 서비스로 파는 게 새로운 기회로 보임 - CSR 때문에 반드시 유료 보안 이미지만 공급해야 하는 것은 아님임, 마음만 먹으면 공짜로 제공해도 되고, 상업용만 유료로 가도 됨 - 상업용으로 오픈소스 플러스 서비스를 판다면 CSR에 맞춘 컴플라이언스 작업은 필수임, 결국 오픈이든 상업이든 같은 노력 필요함 - 대안이 필요하다면, Twistlock 팀에서 Minimus를 런칭함, 소스에서 바로 빌드하고 거의 취약점이 없는 이미지를 지속 공급함, Bitnami와 동일하게 drop-in replacement도 제공함, 사용법·툴·고객 사례 등 궁금한 점 있으면 언제든 질문 환영임, [비교 및 안내 포스트](https://www.minimus.io/post/the-bitnami-pricing-changes-what-you-need-to-know) 참고 - Minimus의 [가입 폼](https://www.minimus.io/get-started#signup-form)은 "개인"과 "조직"을 구분하지만 회사명 입력이 필수인 점이 이상함, 마케팅 목적으로만 보임 - 블로그에서 Minimus와 Bitnami Secure Images 비교 사례를 조금 더 이해하기 쉽게 정리하겠음: Bitnami Secure Images는 Photon 기반으로 빌드되고, 취약점이나 새 버전 릴리즈가 있으면 자동으로 빌드·테스트·배포되고, 사용자는 최신판만 쓰면 되므로 CVE 모니터링 걱정과 수동 패치 필요 없음임 - 가격이 제일 큰 이슈임, Chainguard나 Docker secure images도 가격 듣고 관심을 접었음, Minimus 가격 정보가 웹사이트 어디에도 없는데 아마 대부분 사용할 수 없을 만큼 비싼 것 아닌지 의구심 생김 - Minimus가 OS인지 궁금함, Bitnami는 여전히 오픈소스 프로젝트로서 소스에서 직접 이미지 빌드할 수 있음 - Minimus 쪽에 docker-credential helper 직접 구현, Chainguard의 docker-credential-cgr 참고해서 제공해주면 좋겠음, 그냥 "docker는 credential store를 지원하니 알아서 하라"는 식의 안내로 끝내지 말았으면 함 [레퍼런스](https://edu.chainguard.dev/chainguard/chainguard-images/chainguard-registry/authenticating/#authenticating-with-the-chainctl-credential-helper) - 라이선스 비용을 보니 연간 $50,000 이상이라서 내 타깃 시장은 아님임 - 공식 설명에 ‘BSI가 오픈소스 보안·컴플라이언스를 민주화한다’고 쓰여있지만, $50,000도 결코 ‘민주화’ 수준은 아니라고 생각함 - 용어가 혼란스럽긴 하지만, 실제로는 무료로 제공하던 다양한 이미지를 유료로 전환중임, 여전히 Docker 파일은 받을 수 있고 Docker Hub 이미지도 쓸 수는 있음, 다만 무료 제공분은 ‘개발용’(production 목적으로는 제한)이고, 진짜 ‘secure’ 이미지는 Photon OS에서 빌드되고 보안 프로세스까지 거침, 제공 서비스 외에는 막는 건 없음임 - 기존 유저 베이스를 업데이트 없이 방치한 채로 수익 내는 가장 쉬운 전략임, 약간 웃긴 지점임 - 거의 2년 전 엔터프라이즈에서 Bitnami에서 옮기라고 권유한 덕에, 지금쯤 그 프로젝트가 막 끝날 시점이라서 제대로 예측했다는 보람이 큼 - VMware 라이선스 변화와 함께 Broadcom이 Oracle 자리를 노리는 게 분명해 보임, 요즘 경쟁이 격해지는 점이 아쉬움임 - Broadcom이 Spring 생태계를 어떻게 수익화할지 기대(?)중임, 사실상 대기업은 모두 Spring을 쓰고 있어서 조만간 필연적으로 일어날 일이라 봄 - Broadcom은 실제로는 Avago Technologies가 2015~2016년에 이름만 인수해 쓴 것임, 진짜 Broadcom의 영역과 IP는 이미 대부분 팔렸음 - Broadcom이 실제로 얼마나 '악랄'한지 알고 나면 이 이슈 자체도 별 일 아닌 것처럼 느껴질 수도 있음, 그래도 당장엔 사용자 입장에선 이득 얻을 수도 있음 - Bitnami의 엔지니어 상당수는 이런 결정에 다 동의하지 않을 것 같음 - Microsoft가 존재하는 한, Broadcom과 Oracle 등은 ‘악의 순위’ 2위를 갖고 경쟁하는 상황임 - 소프트웨어 프로젝트는 (1) 스스로 관리하거나 돈 주고 유지보수하는 코드, (2) 언젠가 호환 안 되는 버전으로 대체해야 할 잡코드로만 이루어짐, 잡코드만 이어붙이는 것도 충분히 현명한 도박이지만, 의존성 소스가 타사라면 절대 그들이 반영구적으로 유지보수해 줄 것이라 기대하면 안 됨임, 해당 프로젝트 생명주기가 의존성보다 짧을 거라 감안해야 진짜 리스크 관리임 - Broadcom이 모바일용 패딩 조차 제대로 못하는 건 아쉬움임, 그나저나 docker.io/bsi를 따로 만들고 /bitnami는 구버전 그대로 두면 깨지는 건 없으니 사용자도 알아서 전환할 수 있음, 업그레이드가 안 되는 이유를 자연스럽게 안내할 수 있음 - Bitnami에서 무료로 보안 업데이트 중단 의사를 표시하면, 사용자가 직접 위험수용에 동의하게끔 했어야 함, 충분한 사전 공지 후 `/bitnami`를 `/bitnamilegacy`로 옮기는 정도도 괜찮은 방식임 - "bitnami" 이름 자체에 브랜드 가치가 있으니, 새 서비스 팔 때 이 네이밍을 계속 쓰는 게 비즈니스적으로 맞는 선택임 - Broadcom의 패딩 문제는 Rally의 UI 디자인이 너무 오래된 것도 같은 맥락으로 느껴짐 - Bitnami의 이미지와 패키지 컨벤션을 도무지 이해 못하겠음, 실제로 써보면 너무 복잡하고 커스텀 규칙이 번거로워서 별로였음, 평범한 베이스로 된 간단한 패키지가 아니라 이상한 구조로 되어 있고, 뭔가 바꾸려고 하면 혼돈 그 자체임 - 그들만의 규칙 다 무시하고 복잡한 스크립트 얹어놨는데, 모든 이미지가 따로 문서를 읽어야만 쓸 수 있음, 기본 공식문서와 맞지 않아서 답답했음 - 한때는 rootless로 동작하는 베이스 이미지를 쉽게 얻으려 Bitnami 이미지를 썼음, 예전에는 공식 저장소에서 postgres 등 rootless 설정이 어려웠기 때문임, 다만 Bitnami 이미지마다 uid나 config 경로 등이 다 달라서 항상 도커파일을 일일이 읽어봐야 했음 - Bitnami는 원래 Windows에서 Wordpress를 돌리는 용도로 인기였음, Windows Server에서 바로 쓸 수 있게 만들어줘서 그 시절엔 유용했음, 요즘은 그걸로 일하면 해고감일지 몰라도, 당시엔 Linux 대중화가 늦었으니 필요한 서비스였음 - 이런 패키징 컨벤션에 참고할 만한 리소스가 있는지 궁금함, 대부분은 프로젝트 공식 이미지를 베이스로 각자 커스텀해서 자체 이미지를 만드는 게 관행인 것으로 느낌