Penghapusan docker.io/Bitnami

 (community.broadcom.com)
2 poin oleh GN⁺ 2025-08-30 | 2 komentar | Bagikan ke WhatsApp
  • Tim Bitnami menunda waktu penghapusan katalog publik docker.io/bitnami menjadi 29 September
  • Sebelum penghapusan, mereka berencana melakukan beberapa kali brownout (pemblokiran sementara sebagian image) untuk membantu pengguna beradaptasi
  • Ke depan, image container dan chart Helm milik Bitnami akan dipindahkan ke Bitnami Secure Images (BSI) dengan fitur keamanan yang diperkuat atau ke Bitnami Legacy Registry
  • Image BSI tersedia gratis untuk keperluan pengembangan dan pengujian, tetapi jika membutuhkan seluruh image dan dukungan jangka panjang maka diperlukan langganan berbayar
  • Untuk merespons perubahan keamanan rantai pasok open source dan regulasi, transisi dari cara lama menjadi diperlukan

Jadwal penghapusan katalog publik Bitnami di docker.io dan panduan respons

Pembaruan

  • Tim Bitnami, setelah masukan komunitas dan evaluasi dampak, menunda waktu penghapusan katalog publik docker.io/bitnami menjadi 29 September 2024
  • Sebelum penghapusan registry, agar pengguna menyadari perubahan tersebut, akan dilakukan brownout (pemblokiran sementara 24 jam untuk sebagian image container) sebanyak 3 kali
    • 28 Agustus 08:00 UTC ~ 29 Agustus 08:00 UTC
    • 2 September 08:00 UTC ~ 3 September 08:00 UTC
    • 17 September 08:00 UTC ~ 18 September 08:00 UTC
  • Image yang terdampak pada tiap brownout akan diumumkan pada hari pelaksanaannya
  • Mulai 28 Agustus, image container dan chart Helm Bitnami tidak lagi didistribusikan ke Docker Hub dalam format baru (OCI)
  • Kode sumber container dan chart Helm akan tetap tersedia di GitHub dengan lisensi Apache 2.0

Perubahan yang terjadi

  • Mulai 28 Agustus, Bitnami memindahkan registry OCI yang ada saat ini (chart dan image) ke Bitnami Legacy, lalu setelah itu beralih ke image baru dengan keamanan yang diperkuat

  • Jika saat ini menggunakan image tersebut, jalur pull image untuk pipeline otomatis, mirror internal, dan cluster Kubernetes perlu diubah ke lokasi baru

  • Opsi yang dapat dipilih pengguna

    1. Beralih ke Bitnami Secure Images (BSI)
    2. Beralih ke Bitnami Legacy Registry (sementara)

  • Demi keberlanjutan sistem dan menjaga fungsi, disarankan untuk beralih ke Bitnami Secure Images (BSI)

  • Dengan BSI, ada keuntungan berupa peningkatan kemampuan respons terhadap keamanan dan compliance melalui image yang diperkuat

Beralih ke Bitnami Secure Images (BSI)

  • Sebagian image BSI tersedia gratis untuk keperluan pengembangan dan pengujian, tetapi seluruh katalog, tag stabil, versi dukungan jangka panjang, dan sejenisnya hanya tersedia dengan langganan berbayar
  • Pelanggan BSI akan terus menerima seluruh katalog image berbasis Debian dari Bitnami beserta pembaruannya
  • Disarankan untuk melakukan upgrade dan migrasi ke image berbasis Photon Linux yang lebih diperkuat
    • Kompatibel dengan image Debian yang ada dan chart Helm juga dapat digunakan dengan cara yang sama
  • Manfaat utama image berbasis Photon
    • Jumlah CVE berkurang drastis (100+ → bahkan ada kasus 0)
    • Pengelolaan kerentanan menjadi lebih mudah dengan dukungan diagnosis VEX dan integrasi skor KEV/EPSS
    • UI/API self-service dengan kemampuan pelaporan dan metadata yang kuat
    • Dukungan chart Helm tingkat lanjut seperti chart distroless yang mengurangi attack surface hingga 83%
    • Kustomisasi image hasil build dimungkinkan di software factory yang mematuhi SLSA 3 (standar keamanan rantai pasok)
    • Menyediakan registry OCI keamanan privat khusus pelanggan (berbeda dengan Docker Hub, tidak terpengaruh batasan publik/rate limit)
    • Tersedia lebih dari 90 image VM format OVA
    • Dukungan enterprise terkait packaging dan instalasi

Beralih ke Bitnami Legacy Registry

  • Sebagai langkah sementara, pengguna Bitnami yang ada diberi Bitnami Legacy Registry
    • Ini adalah image dalam format arsip yang tidak didukung lagi (patch keamanan dan semacamnya tidak diterapkan)
    • Tidak ada rencana penyediaan jangka panjang: ada kekhawatiran kerentanan cepat menumpuk dan menjadi usang
    • Jika digunakan sementara, disarankan menyalin image yang dibutuhkan ke registry internal sendiri
    • Pada dasarnya tetap diperlukan migrasi cepat ke sistem baru yang lebih aman (BSI)

Kebutuhan transisi keamanan rantai pasok open source dan compliance

  • Latar belakang utamanya adalah perubahan terbaru di lingkungan open source dan lonjakan paket berbahaya (lebih dari 245.000 kasus menurut Sonatype pada 2019~2023)
    • Ini setara sekitar 2 kali lipat dari seluruh periode sebelumnya
  • Seiring pertumbuhan ekosistem AI/model, penggunaan open source meningkat pesat → attack surface dan risiko juga meningkat
  • Karena regulasi seperti Cyber Resilience Act (EU), muncul beban pembuktian atas asal-usul dan integritas perangkat lunak open source
  • Dengan adopsi Bitnami Secure Images, Bitnami menyediakan lingkungan yang memudahkan organisasi untuk mengamankan keamanan rantai pasok dan compliance
    • Dengan TCO (total cost of ownership) yang rendah, beban biaya keamanan dan regulasi dapat dikurangi
    • Menyediakan landasan untuk mengelola lingkungan perangkat lunak open source yang makin kompleks secara kokoh

Klaim pesaing terkait perubahan Bitnami

  • Sebagian pesaing menimbulkan kesalahpahaman bahwa Bitnami akan "menghapus image publik gratis dan chart Helm"
    • Faktanya, chart Helm akan tetap dipublikasikan di GitHub dengan lisensi Apache 2
    • Inti perubahan ada pada artefak OCI (image hasil build)
    • Biaya pengoperasian pipeline build/deploy skala besar dan registry sangat tinggi, sehingga pasokan berbiaya rendah tidak memungkinkan
    • Sumber chart Helm (termasuk image Debian) dapat diakses gratis oleh siapa pun
  • Jika perusahaan membutuhkan image build OCI secara langsung, mereka harus mendapat dukungan melalui langganan BSI, dan ini merupakan sarana untuk meningkatkan keamanan dan memastikan pemanfaatan OSS yang strategis

Cara transisi yang spesifik setelah 28 Agustus

  • Mulai 28 Agustus, repo Bitnami akan memulai penertiban image secara bertahap, sehingga seluruh transisi tidak terjadi sekaligus
  • Penghapusan/pemindahan image akan dilakukan bertahap selama beberapa minggu → langkah ini ditujukan untuk meminimalkan kebingungan pengguna
    • Karena harus menangani 84 TB konten OCI dalam skala besar, tidak pasti image mana yang akan dihapus kapan
    • Mulai 28 Agustus, image yang diperlukan untuk fungsi bisnis inti perlu disiapkan registry pengganti
  • Di registry Bitnami yang baru, image Photon yang diperkuat akan diunggah dengan nama yang sama seperti image Debian sebelumnya
  • Pengguna lama maupun baru akan dapat merespons kebutuhan lingkungan open source modern melalui image yang diperkuat keamanannya
  • Detail transisi dapat dilihat di FAQ Bitnami

Bacaan terkait

2 komentar

 
jic5760 2025-08-31

Untuk melanjutkan Bitnami di dalam komunitas, kemarin saya membuat Bitmoa.
Tujuannya adalah menggantikan image Bitnami dengan perubahan seminimal mungkin (sekadar ENV, misalnya).

https://github.com/bitmoa/containers (membangun image dengan GH action)
https://github.com/bitmoa/charts
 
GN⁺ 2025-08-30
Opini Hacker News
  • Agak mengejutkan melihat mereka hanya “mengemas” perangkat lunak publik tanpa banyak berkontribusi lalu berniat beralih ke model komersial ala Oracle, meski bukan berarti ingin meremehkan kerja mereka; saya juga bertanya-tanya seberapa besar bagian yang benar-benar bisa mereka klaim hak ciptanya, karena kebanyakan paket pada dasarnya cuma resep perakitan beberapa baris, terasa seperti mencoba memberi hak cipta pada baris perintah seperti make build, dan kalau distribusi binari yang dihasilkan memakai lisensi open source maka pengguna seharusnya tetap mendapat source code, cara build, dan hak redistribusi
    • Makefile dan hal-hal lain yang dibuat Bitnami jelas memerlukan usaha besar, dan membuat beragam perangkat lunak bisa dipakai hanya dengan variabel lingkungan sama sekali bukan pekerjaan mudah, layak lihat contoh ini, dan untuk sebagian pengguna saat ini lisensi komersial memang cukup bernilai
    • Nilai yang sebenarnya mungkin justru lebih besar pada Helm charts mereka, tetapi karena image resmi sudah tersedia sebagai pengganti, tidak ada alasan khusus untuk harus memakai image Node atau Postgres dari Bitnami, jadi masih dipertanyakan seberapa banyak orang benar-benar memakai Helm charts Bitnami
  • Hardened images yang disediakan Bitnami dulu adalah bentuk goodwill dan membantu orang mengambil langkah awal saat memang dibutuhkan, tetapi di pasar mereka tidak mampu bersaing dengan opsi yang lebih baik; peralihan ke “subscription” ini bukan solusi melainkan terasa seperti pemaksaan, mirip yang dilakukan Terraform Cloud, dan menurut saya kondisi mereka sekarang juga tidak bagus; kontribusi Bitnami pada dasarnya cuma menambahkan sedikit opsi config, jadi kalau dilihat dari capability OperatorFramework mungkin cuma level 2 atau bahkan 1 tautan referensi
    • Menyebut situasi ini sebagai “pemaksaan” menurut saya berlebihan; Bitnami dulu memberikannya secara gratis lalu sekarang berhenti, sehingga pengguna perlu mencari pengganti, dan itu sendiri sudah cukup patut disyukuri
    • Menyebut berhenti memberi sesuatu yang tadinya gratis sebagai pemaksaan adalah ungkapan yang ekstrem; yang tersisa sekarang cuma rasa kecewa karena ada hal yang kini harus dikerjakan sendiri
    • Sepertinya ada kebingungan soal Broadcom itu perusahaan seperti apa; Broadcom bukan perusahaan yang peduli pada “kesehatan jangka panjang”, mereka mengakuisisi produk lalu memecat 90% karyawannya, menaikkan biaya lisensi dan dukungan 2 sampai 100 kali lipat, memanfaatkan fakta bahwa perusahaan Fortune 500 sulit lepas begitu saja sehingga mereka bisa terus menarik uang lewat kontrak sekitar 5 tahun, dan meski ada reaksi negatif pasar mereka tidak terlalu peduli, bahkan kalau sampai diperdebatkan secara hukum pun efek kenaikan harga tetap tercapai
    • Pada 2025, strategi perusahaan infrastruktur yang lebih dulu membangun popularitas di kalangan developer lalu baru menghasilkan pendapatan tidak lagi berjalan; sekarang mereka harus menciptakan pendapatan sejak awal, dan pada akhirnya cuma pasar enterprise yang jadi sasaran, sehingga semua orang berebut pasar sempit itu
    • Nilai tambah yang mereka berikan memang sangat kecil, tetapi fakta bahwa sekarang pun orang kesulitan menggantikannya tetap sesuatu yang perlu dipikirkan
  • Pada akhirnya ini juga terkait CSR, dan justru karena CSR transisi semacam ini dimungkinkan; regulasi EU Cyber Residence Act bisa sangat mengubah ekosistem open source, karena kini perusahaan yang menjual produk berbasis open source secara komersial harus mematuhi aturan keamanan dan dokumentasi dengan ketat, jadi memang proyek open source murni tidak termasuk, tetapi begitu didistribusikan untuk uang akan muncul beban hukum, dan pada akhirnya menjual framework kepatuhan sebagai layanan tampak seperti peluang baru
    • CSR tidak berarti mereka wajib hanya menyediakan image keamanan berbayar; kalau mau mereka tetap bisa memberikannya gratis, atau hanya menarik biaya untuk penggunaan komersial
    • Jika menjual layanan tambahan open source plus untuk penggunaan komersial, maka pekerjaan kepatuhan sesuai CSR memang wajib; pada akhirnya baik yang open maupun komersial memerlukan upaya yang sama
  • Jika butuh alternatif, tim Twistlock meluncurkan Minimus, yang membangun langsung dari source dan terus menyediakan image dengan hampir tanpa kerentanan, juga menawarkan drop-in replacement yang sama seperti Bitnami; kalau ada pertanyaan soal cara pakai, tool, atau contoh pelanggan, silakan tanya kapan saja, dan lihat posting perbandingan serta panduan ini
    • Formulir pendaftaran Minimus membedakan antara “individu” dan “organisasi”, tetapi anehnya nama perusahaan tetap wajib diisi, jadi terlihat murni untuk tujuan pemasaran
    • Di blog, saya akan merangkum contoh perbandingan Minimus dan Bitnami Secure Images agar lebih mudah dipahami: Bitnami Secure Images dibangun berbasis Photon, dan saat ada kerentanan atau rilis versi baru maka proses build, test, dan deploy berjalan otomatis; pengguna cukup memakai versi terbaru sehingga tidak perlu memantau CVE atau melakukan patch manual
    • Harga adalah isu terbesar; saya juga sempat kehilangan minat pada Chainguard atau Docker secure images setelah mendengar harganya, dan karena informasi harga Minimus tidak ada di mana pun di situs web, muncul kecurigaan bahwa kemungkinan harganya terlalu mahal bagi kebanyakan orang
    • Saya penasaran apakah Minimus itu OS; Bitnami sendiri tetap merupakan proyek open source sehingga image masih bisa dibangun langsung dari source
    • Akan bagus kalau pihak Minimus menyediakan implementasi docker-credential helper sendiri, merujuk pada docker-credential-cgr milik Chainguard, dan tidak berhenti pada petunjuk semacam “docker mendukung credential store jadi urus sendiri saja” referensi
  • Melihat biaya lisensinya yang lebih dari $50,000 per tahun, jelas itu bukan pasar target saya
    • Di penjelasan resminya tertulis bahwa ‘BSI mendemokratisasi keamanan dan kepatuhan open source’, tetapi menurut saya $50,000 sama sekali bukan level yang bisa disebut ‘demokratisasi’
    • Istilahnya memang membingungkan, tetapi pada praktiknya mereka sedang mengubah beragam image yang tadinya gratis menjadi berbayar; Docker file masih bisa didapat dan image Docker Hub juga masih bisa dipakai, hanya saja yang gratis kini untuk “pengembangan” saja (dibatasi untuk tujuan production), sedangkan image yang benar-benar “secure” dibangun di Photon OS dan melalui proses keamanan tambahan, dan mereka tidak memblokir apa pun di luar layanan yang disediakan
    • Ini strategi termudah untuk menghasilkan uang dengan membiarkan basis pengguna lama tanpa pembaruan, dan ada sisi yang agak lucu di situ
  • Hampir dua tahun lalu saya sudah menyarankan agar enterprise pindah dari Bitnami, dan sekarang proyek itu tampaknya baru saja selesai, jadi ada kepuasan tersendiri karena prediksinya tepat
  • Bersamaan dengan perubahan lisensi VMware, makin jelas Broadcom ingin mengambil posisi Oracle, dan sayang sekali persaingan sekarang terasa makin keras
    • Saya penasaran—atau mungkin “menanti”—bagaimana Broadcom akan memonetisasi ekosistem Spring; nyaris semua perusahaan besar memakainya, jadi rasanya ini cuma soal waktu
    • Broadcom sebenarnya adalah nama yang diambil alih oleh Avago Technologies pada 2015–2016; wilayah bisnis dan IP Broadcom yang asli sendiri sebagian besar sudah dijual
    • Kalau tahu seberapa “jahatnya” Broadcom dalam praktik, isu ini sendiri mungkin akan terasa bukan masalah besar, meski dalam jangka pendek dari sudut pandang pengguna tetap bisa ada manfaatnya
    • Sepertinya cukup banyak engineer Bitnami yang juga tidak sepakat penuh dengan keputusan seperti ini
    • Selama Microsoft masih ada, Broadcom dan Oracle hanya bersaing memperebutkan peringkat kedua dalam urusan “kejahatan”
  • Proyek perangkat lunak pada akhirnya hanya terdiri dari (1) kode yang Anda kelola sendiri atau Anda bayar untuk dipelihara, dan (2) kode sampah yang suatu hari harus diganti dengan versi yang tidak kompatibel; menyusun kode sampah pun tetap bisa jadi pertaruhan yang cerdas, tetapi jika sumber dependensi berasal dari pihak ketiga, jangan pernah berharap mereka akan memeliharanya nyaris selamanya; manajemen risiko yang sebenarnya adalah menganggap umur proyek Anda lebih pendek daripada umur dependensinya
  • Sangat disayangkan Broadcom bahkan tidak bisa melakukan padding untuk mobile dengan baik; terlepas dari itu, mereka sebenarnya bisa membuat docker.io/bsi terpisah dan membiarkan /bitnami tetap berisi versi lama, sehingga tidak ada yang rusak dan pengguna bisa bermigrasi sendiri, sambil secara alami diberi tahu mengapa upgrade tidak lagi tersedia
    • Jika Bitnami ingin menghentikan pembaruan keamanan gratis, mereka seharusnya membuat pengguna secara eksplisit menerima risiko itu; setelah pemberitahuan yang cukup, memindahkan /bitnami ke /bitnamilegacy juga akan menjadi pendekatan yang masuk akal
    • Nama “bitnami” sendiri punya nilai merek, jadi dari sisi bisnis masuk akal kalau mereka tetap memakai penamaan itu saat menjual layanan baru
    • Soal masalah padding Broadcom, saya juga merasa UI Rally yang terlalu kuno adalah bagian dari pola yang sama
  • Saya benar-benar tidak mengerti konvensi image dan paket Bitnami; saat dipakai langsung, semuanya terasa terlalu rumit dan aturan kustomnya merepotkan, bukan paket sederhana di atas base image biasa melainkan struktur yang aneh, dan begitu ingin mengubah sesuatu langsung terasa seperti kekacauan total
    • Mereka mengabaikan banyak konvensi umum lalu menambahkan skrip-skrip rumit, sehingga semua image mengharuskan kita membaca dokumentasi masing-masing terlebih dahulu, dan itu membuat frustrasi karena tidak sesuai dengan dokumentasi resmi standar
    • Dulu saya memakai image Bitnami untuk lebih mudah mendapatkan base image yang berjalan rootless, karena pada masa itu pengaturan rootless untuk postgres dan lain-lain di repositori resmi tidak mudah; tetapi setiap image Bitnami punya uid atau path config yang berbeda-beda, jadi saya selalu harus membaca Dockerfile satu per satu
    • Bitnami awalnya populer untuk menjalankan Wordpress di Windows, karena mereka membuatnya bisa langsung dipakai di Windows Server, jadi pada masa itu memang berguna; mungkin sekarang orang bisa dipecat kalau bekerja seperti itu, tetapi waktu itu adopsi Linux belum meluas sehingga layanan seperti itu memang dibutuhkan
    • Saya penasaran apakah ada sumber yang layak dijadikan referensi untuk konvensi packaging semacam ini; kesannya kebanyakan orang memakai image resmi proyek sebagai basis lalu melakukan kustomisasi sendiri untuk membuat image internal mereka