docker.io/Bitnami 삭제

 (community.broadcom.com)
2P by GN⁺ 3일전 | ★ favorite | 댓글 2개
  • Bitnami 팀이 docker.io/bitnami 공개 카탈로그 삭제 시점을 9월 29일로 연기함
  • 삭제 전 사용자 적응을 돕기 위해 여러 차례 브라운아웃(일부 이미지 임시 차단) 을 진행할 예정임
  • 앞으로 Bitnami의 컨테이너 이미지와 Helm 차트는 강력한 보안 기능이 적용된 Bitnami Secure Images(BSI) 또는 Bitnami Legacy Registry로 옮겨짐
  • BSI 이미지는 개발·테스트 용도로는 무료 제공되나, 전체 이미지와 장기 지원이 필요할 경우 유료 구독이 필요함
  • 오픈소스 공급망 보안 및 규제 변화 대응을 위해, 기존 방식에서 전환이 필요해짐

Bitnami docker.io 공개 카탈로그 삭제 일정과 대응 안내

업데이트

  • Bitnami 팀은 커뮤니티 의견과 영향 평가 끝에, docker.io/bitnami 공개 카탈로그 삭제 시점을 2024년 9월 29일로 연기함
  • 레지스트리 삭제에 앞서, 사용자가 변화를 인지할 수 있도록 브라운아웃(일부 컨테이너 이미지 24시간 임시 차단) 을 3차례 실시 예정임
    • 8월 28일 08:00 UTC ~ 8월 29일 08:00 UTC
    • 9월 2일 08:00 UTC ~ 9월 3일 08:00 UTC
    • 9월 17일 08:00 UTC ~ 9월 18일 08:00 UTC
  • 각 브라운아웃마다 영향을 받는 이미지는 당일 공지 예정임
  • 8월 28일부터 Bitnami 컨테이너 이미지 및 Helm chart를 Docker Hub에 새로운 형식(OCI)으로 더 이상 배포하지 않음
  • 컨테이너 및 Helm chart의 소스 코드는 GitHub에서 Apache 2.0 라이선스로 계속 제공됨

변화 내용

  • 8월 28일부터 Bitnami는 기존 OCI 레지스트리(chart와 이미지)Bitnami Legacy로 옮기고, 이후에는 보안이 강화된 신규 이미지로 전환함

  • 현재 이미지를 사용하는 경우, 자동화 파이프라인·내부 미러·Kubernetes 클러스터의 이미지 Pull 경로를 새로운 위치로 변경해야 함

  • 사용자가 선택할 수 있는 옵션

    1. Bitnami Secure Images(BSI)로 전환
    2. Bitnami Legacy Registry로 전환(임시)

  • 시스템 지속성과 기능 유지를 위해 Bitnami Secure Images(BSI)로의 전환을 권장

  • BSI를 사용하면 강화된 이미지를 통해 보안 및 컴플라이언스 대응력이 향상되는 장점이 있음

Bitnami Secure Images(BSI)로의 전환

  • 일부 BSI 이미지는 개발 및 테스트 용도로는 무료 제공이나, 전체 카탈로그·안정적 태그·장기 지원 버전 등은 유료 구독 시 이용 가능
  • BSI 구독자는 앞으로도 전체 Bitnami Debian 기반 이미지 카탈로그와 업데이트를 받을 수 있음
  • 더욱 강화된 Photon Linux 기반 이미지로 업그레이드 및 전환을 권장함
    • 기존 Debian 이미지와 호환되며 Helm chart도 동일하게 사용 가능
  • Photon 기반 이미지의 주요 이점
    • CVE 개수 대폭 감소(100+ 개→0개 사례도 있음)
    • VEX 진단 지원, KEV/EPSS 점수 연동으로 취약점 관리 수월
    • 강력한 보고 및 메타데이터 기능의 셀프서비스 UI/API
    • 공격 표면적을 83% 줄인 distroless 차트 등 고급 Helm chart 지원
    • SLSA 3 준수(공급망 보안 표준) 소프트웨어 팩토리에서 빌드 이미지 커스터마이징 가능
    • 고객 전용 프라이빗 보안 OCI 레지스트리 제공(Docker Hub와 달리 Public/Rate limit 무관)
    • 90종 이상의 OVA 포맷 VM 이미지 이용 가능
    • 패키징 및 설치 관련 엔터프라이즈 지원

Bitnami Legacy Registry로의 전환

  • 임시방편으로 기존 Bitnami 사용자에게 Bitnami Legacy Registry를 제공함
    • 지원하지 않는 아카이브 형식 이미지임(보안 패치 등 미적용)
    • 장기 제공 계획 없음: 빠르게 취약점 누적 및 노후화 우려 있음
    • 임시적으로 활용한다면 필요한 이미지를 별도 자체 레지스트리로 복사 권장함
    • 근본적으로는 새로운 보안 강화 시스템(BSI)로 빠른 전환이 필요함

오픈소스 공급망 보안 및 컴플라이언스 전환의 필요성

  • 최근 오픈소스 환경의 변화 및 악성 패키지 급증(2019~2023년 Sonatype 기준 245,000건 이상)이 주요 배경임
    • 이는 직전 모든 기간의 2배 수준
  • AI/모델 생태계 성장과 함께 오픈소스 활용이 크게 늘고 있음 → 공격 표면 및 리스크도 증가
  • Cyber Resilience Act(EU) 와 같은 규제로 인해, 오픈소스 소프트웨어의 출처와 무결성에 대한 입증 책임이 생기고 있음
  • Bitnami Secure Images 도입으로, 조직에게 공급망 보안과 컴플라이언스 확보를 손쉽게 구현할 수 있는 환경 제공함
    • 낮은 TCO(총소유비용)로 보안·규제 비용 부담 완화
    • 복잡해진 오픈소스 소프트웨어 환경을 견고하게 관리할 수 있는 기반 마련

Bitnami 변경에 대한 경쟁사 주장

  • 일부 경쟁사가 Bitnami가 "무료 공개 이미지와 Helm 차트를 없앤다"는 오해를 유발함
    • 실제로 Helm 차트는 계속 Apache 2 라이선스GitHub에 공개
    • 체인지의 핵심은 OCI 아티팩트(빌드된 이미지)에 있음
    • 대규모 빌드·배포 파이프라인, 레지스트리 운영 비용은 매우 크며, 저비용 공급이 불가능함
    • Helm chart 소스(Debian 이미지 포함)는 누구나 무료 접근 가능함
  • 기업이 직접 OCI 빌드 이미지가 필요한 경우 BSI 구독을 통해 지원받아야 하며, 이는 보안 향상과 전략적 OSS 활용 확보 수단임

8월 28일 이후 구체적인 전환 방식

  • 8월 28일부터 Bitnami repo는 이미지 단계별 정리를 시작하며, 모든 전환 작업이 일괄 발생하지 않음
  • 수 주에 걸쳐 점진적으로 이미지 삭제/이전 진행 → 사용자 혼선을 최소화하려는 조치임
    • 84TB의 대규모 OCI 콘텐츠 처리로 인해 구체적으로 어느 이미지가 언제 삭제될지는 불확실
    • 8월 28일부터 핵심 비즈니스 기능에 필요한 이미지는 대체 레지스트리 준비 필요
  • 새로운 Bitnami 레지스트리에는 강화된 Photon 이미지가 이전 Debian 이미지와 동일 이름으로 업로드될 예정임
  • 기존 사용자 및 신규 사용자는 보안 강화 이미지를 통해 최신 오픈소스 환경 요구에 대응
  • Bitnami FAQ에서 전환에 대한 세부 정보를 확인할 수 있음
jic5760 2일전  [-]

커뮤니티 내에서 Bitnami를 지속하기 위해 어제 Bitmoa를 만들었습니다.
목표는 최소한의 변경(ENV 정도)으로 bitnami 이미지를 대체하는 것입니다.

https://github.com/bitmoa/containers (GH action 으로 이미지 빌드)
https://github.com/bitmoa/charts

답변달기
GN⁺ 3일전  [-]
Hacker News 의견
  • 공개 소프트웨어를 ‘패키징’만 하면서 기여는 안 하고 Oracle 스타일로 상업적으로 전환할 생각이라니 좀 놀라움이 있음, 하지만 그들의 작업을 깎아내릴 의도는 없음임, 실제로 저작권 주장할 수 있는 부분이 얼마나 되는지 의문임, 대개 각 패키지는 몇 줄짜리 조립법일 뿐이고 사실상 ‘make build’ 같은 명령어 라인에 저작권을 걸려는 느낌임, 그리고 만들어진 바이너리 배포도 오픈소스 라이선스라면 유저가 소스코드, 빌드 방법, 재배포 권리 다 가져야 하는 것임
    • Bitnami가 만든 Makefile 등은 상당한 노력이 들어간 비트이며, 다양한 소프트웨어를 환경 변수만으로 쓸 수 있게끔 만드는 작업은 결코 쉬운 일이 아님임, 예시 링크 참고해볼 만함, 현재 일부 유저층에게 상업적 라이센스는 충분히 가치가 있음임
    • 실제로 더 중요한 가치는 Helm charts일 가능성이 높음, 하지만 공식 이미지들이 이미 대체재로 나와 있어서 특별히 Bitnami의 Node나 Postgres 이미지를 써야 할 이유는 딱히 없어서 대부분의 사람들이 실제로 얼마나 Bitnami의 Helm charts를 썼는지는 의문임
  • Bitnami가 제공했던 hardened images는 goodwill의 징표였고, 진짜 필요한 곳에 첫 발을 딛게 해주는 역할이었음, 하지만 시장에서 더 나은 옵션들과 경쟁이 안 되었던 것임, 이 ‘서브스크립션’ 전환이 해결책이 아니라 마치 강매 같음, Terraform Cloud가 했던 것과 같은데 그쪽도 요즘 상황이 나쁘다고 봄임, Bitnami의 공헌은 사실상 config 옵션 조금 넣는 수준에 불과해서 OperatorFramework capability로 보면 겨우 level 2 내지 1 정도 수준임 참고 링크
    • Bitnami가 무료로 제공하다 이제 그만둬서, 사용자가 대체할 것을 찾아야 하는 상황을 '강매'라고 표현하는 건 지나치다고 생각함, 무료로 해줬던 것만 해도 고맙게 여길 만한 일임
    • 무료로 주던 걸 안 주겠다고 한 게 강매라니 극단적인 표현임, 이제 직접 해야 할 게 생겨서 아쉬운 감정만 남은 것임
    • Broadcom이 어떤 회사인지 혼동이 있는 것 같음, Broadcom은 '장기적 건강'에 관심이 없는 기업 임, 제품을 인수하면 직원 90% 해고, 라이선스와 지원 비용 2~100배 인상하는 방식임, Fortune 500 기업들이 쉽게 빼지 못하는 특성을 이용해 5년 정도 계약으로 쭉 돈을 뽑아냄, 시장 반발에도 신경 쓰지 않고 법적으로 다퉈도 결과적으로 가격 인상 효과는 남기는 전략임
    • 2025년에는 인프라 회사로서 개발자 사이에서 인기를 먼저 쌓은 후 매출로 이어가는 전략은 통하지 않음, 처음부터 매출을 만들어야 하고 결국 엔터프라이즈 시장만이 목표임, 모두가 그 좁은 시장을 차지하려 경쟁하는 구조임
    • 그들이 추가한 가치는 아주 작지만, 이제 그거라도 대체하기 힘들어서 고생하는 사용자들은 뭘 의미하는지 생각해 볼 문제임
  • 결국 CSR(기업의 사회적 책임) 때문이기도 하고, CSR 덕분에 가능한 전환이기도 함, EU Cyber Residence Act 규제로 오픈소스 생태계가 크게 변화할 수 있음, 이제 상업적으로 오픈소스 기반 상품을 제공하는 회사는 보안·문서화 규정을 엄격히 지켜야 하므로, 순수 오픈소스 프로젝트는 해당되지 않지만 돈을 받고 배포하면 법적 부담이 생김, 결국 컴플라이언스 프레임워크를 서비스로 파는 게 새로운 기회로 보임
    • CSR 때문에 반드시 유료 보안 이미지만 공급해야 하는 것은 아님임, 마음만 먹으면 공짜로 제공해도 되고, 상업용만 유료로 가도 됨
    • 상업용으로 오픈소스 플러스 서비스를 판다면 CSR에 맞춘 컴플라이언스 작업은 필수임, 결국 오픈이든 상업이든 같은 노력 필요함
  • 대안이 필요하다면, Twistlock 팀에서 Minimus를 런칭함, 소스에서 바로 빌드하고 거의 취약점이 없는 이미지를 지속 공급함, Bitnami와 동일하게 drop-in replacement도 제공함, 사용법·툴·고객 사례 등 궁금한 점 있으면 언제든 질문 환영임, 비교 및 안내 포스트 참고
    • Minimus의 가입 폼은 "개인"과 "조직"을 구분하지만 회사명 입력이 필수인 점이 이상함, 마케팅 목적으로만 보임
    • 블로그에서 Minimus와 Bitnami Secure Images 비교 사례를 조금 더 이해하기 쉽게 정리하겠음: Bitnami Secure Images는 Photon 기반으로 빌드되고, 취약점이나 새 버전 릴리즈가 있으면 자동으로 빌드·테스트·배포되고, 사용자는 최신판만 쓰면 되므로 CVE 모니터링 걱정과 수동 패치 필요 없음임
    • 가격이 제일 큰 이슈임, Chainguard나 Docker secure images도 가격 듣고 관심을 접었음, Minimus 가격 정보가 웹사이트 어디에도 없는데 아마 대부분 사용할 수 없을 만큼 비싼 것 아닌지 의구심 생김
    • Minimus가 OS인지 궁금함, Bitnami는 여전히 오픈소스 프로젝트로서 소스에서 직접 이미지 빌드할 수 있음
    • Minimus 쪽에 docker-credential helper 직접 구현, Chainguard의 docker-credential-cgr 참고해서 제공해주면 좋겠음, 그냥 "docker는 credential store를 지원하니 알아서 하라"는 식의 안내로 끝내지 말았으면 함 레퍼런스
  • 라이선스 비용을 보니 연간 $50,000 이상이라서 내 타깃 시장은 아님임
    • 공식 설명에 ‘BSI가 오픈소스 보안·컴플라이언스를 민주화한다’고 쓰여있지만, $50,000도 결코 ‘민주화’ 수준은 아니라고 생각함
    • 용어가 혼란스럽긴 하지만, 실제로는 무료로 제공하던 다양한 이미지를 유료로 전환중임, 여전히 Docker 파일은 받을 수 있고 Docker Hub 이미지도 쓸 수는 있음, 다만 무료 제공분은 ‘개발용’(production 목적으로는 제한)이고, 진짜 ‘secure’ 이미지는 Photon OS에서 빌드되고 보안 프로세스까지 거침, 제공 서비스 외에는 막는 건 없음임
    • 기존 유저 베이스를 업데이트 없이 방치한 채로 수익 내는 가장 쉬운 전략임, 약간 웃긴 지점임
  • 거의 2년 전 엔터프라이즈에서 Bitnami에서 옮기라고 권유한 덕에, 지금쯤 그 프로젝트가 막 끝날 시점이라서 제대로 예측했다는 보람이 큼
  • VMware 라이선스 변화와 함께 Broadcom이 Oracle 자리를 노리는 게 분명해 보임, 요즘 경쟁이 격해지는 점이 아쉬움임
    • Broadcom이 Spring 생태계를 어떻게 수익화할지 기대(?)중임, 사실상 대기업은 모두 Spring을 쓰고 있어서 조만간 필연적으로 일어날 일이라 봄
    • Broadcom은 실제로는 Avago Technologies가 2015~2016년에 이름만 인수해 쓴 것임, 진짜 Broadcom의 영역과 IP는 이미 대부분 팔렸음
    • Broadcom이 실제로 얼마나 '악랄'한지 알고 나면 이 이슈 자체도 별 일 아닌 것처럼 느껴질 수도 있음, 그래도 당장엔 사용자 입장에선 이득 얻을 수도 있음
    • Bitnami의 엔지니어 상당수는 이런 결정에 다 동의하지 않을 것 같음
    • Microsoft가 존재하는 한, Broadcom과 Oracle 등은 ‘악의 순위’ 2위를 갖고 경쟁하는 상황임
  • 소프트웨어 프로젝트는 (1) 스스로 관리하거나 돈 주고 유지보수하는 코드, (2) 언젠가 호환 안 되는 버전으로 대체해야 할 잡코드로만 이루어짐, 잡코드만 이어붙이는 것도 충분히 현명한 도박이지만, 의존성 소스가 타사라면 절대 그들이 반영구적으로 유지보수해 줄 것이라 기대하면 안 됨임, 해당 프로젝트 생명주기가 의존성보다 짧을 거라 감안해야 진짜 리스크 관리임
  • Broadcom이 모바일용 패딩 조차 제대로 못하는 건 아쉬움임, 그나저나 docker.io/bsi를 따로 만들고 /bitnami는 구버전 그대로 두면 깨지는 건 없으니 사용자도 알아서 전환할 수 있음, 업그레이드가 안 되는 이유를 자연스럽게 안내할 수 있음
    • Bitnami에서 무료로 보안 업데이트 중단 의사를 표시하면, 사용자가 직접 위험수용에 동의하게끔 했어야 함, 충분한 사전 공지 후 /bitnami/bitnamilegacy로 옮기는 정도도 괜찮은 방식임
    • "bitnami" 이름 자체에 브랜드 가치가 있으니, 새 서비스 팔 때 이 네이밍을 계속 쓰는 게 비즈니스적으로 맞는 선택임
    • Broadcom의 패딩 문제는 Rally의 UI 디자인이 너무 오래된 것도 같은 맥락으로 느껴짐
  • Bitnami의 이미지와 패키지 컨벤션을 도무지 이해 못하겠음, 실제로 써보면 너무 복잡하고 커스텀 규칙이 번거로워서 별로였음, 평범한 베이스로 된 간단한 패키지가 아니라 이상한 구조로 되어 있고, 뭔가 바꾸려고 하면 혼돈 그 자체임
    • 그들만의 규칙 다 무시하고 복잡한 스크립트 얹어놨는데, 모든 이미지가 따로 문서를 읽어야만 쓸 수 있음, 기본 공식문서와 맞지 않아서 답답했음
    • 한때는 rootless로 동작하는 베이스 이미지를 쉽게 얻으려 Bitnami 이미지를 썼음, 예전에는 공식 저장소에서 postgres 등 rootless 설정이 어려웠기 때문임, 다만 Bitnami 이미지마다 uid나 config 경로 등이 다 달라서 항상 도커파일을 일일이 읽어봐야 했음
    • Bitnami는 원래 Windows에서 Wordpress를 돌리는 용도로 인기였음, Windows Server에서 바로 쓸 수 있게 만들어줘서 그 시절엔 유용했음, 요즘은 그걸로 일하면 해고감일지 몰라도, 당시엔 Linux 대중화가 늦었으니 필요한 서비스였음
    • 이런 패키징 컨벤션에 참고할 만한 리소스가 있는지 궁금함, 대부분은 프로젝트 공식 이미지를 베이스로 각자 커스텀해서 자체 이미지를 만드는 게 관행인 것으로 느낌
답변달기