Bitnami团队决定将删除公共目录的时间推迟至9月29日，以便用户有更多时间适应变化。在此期间，将进行一系列“停电”测试，暂时使部分容器镜像不可用。自8月28日起，Bitnami已停止在Docker Hub上发布新的容器镜像和Helm图表，相关源代码仍可在GitHub上获取。Bitnami将把现有的OCI注册表迁移至新位置，为未来的安全加固镜像腾出空间。

Bitnami即将到来的变更及应对措施

Bitnami团队在评估了影响和社区反馈后，决定将Bitnami公共目录（docker.io/bitnami）的删除时间推迟至9月29日，以便用户有更多时间适应即将到来的变更。为了在注册表删除前提高用户意识，Bitnami将在未来几周内进行一系列“停电测试”。每次测试期间，docker.io/bitnami中的10个容器镜像将暂时不可用24小时。具体测试时间安排如下：

• 8月28日08:00 UTC → 8月29日08:00 UTC
• 9月2日08:00 UTC → 9月3日08:00 UTC
• 9月17日08:00 UTC → 9月18日08:00 UTC

受影响的应用程序列表将在每次测试当天通过常规渠道发布。

自8月28日起，Bitnami已停止在Docker Hub上以OCI格式发布新的容器镜像和Helm图表，但相关源代码仍可在GitHub上获取，遵循Apache 2.0许可证。

主要变更内容

从8月28日开始，Bitnami将把其OCI注册表中的图表和镜像归档到新的位置——Bitnami Legacy，以便为新的安全加固镜像腾出空间。这些新镜像将最终存放在主Bitnami注册表中。当前使用这些镜像的用户需要在此之前更新其流水线、内部镜像库和Kubernetes集群，以从新位置拉取镜像。用户有以下两种选择：

1. 切换到Bitnami安全镜像（BSI）：BSI不仅提供了更高质量的镜像，还能帮助用户提升安全性和合规性。
2. 切换到Bitnami Legacy注册表：这是一个历史存档注册表，提供不受支持的软件，建议用户将其作为临时解决方案，并尽快迁移到其他选项。

切换到Bitnami安全镜像（BSI）

部分BSI镜像将免费提供，但仅限于开发/测试用途。建议用户购买商业订阅以访问完整目录、稳定标签、长期支持版本等。BSI订阅不仅提供基于Debian的镜像目录，还推荐用户升级并使用基于Photon Linux的加固镜像。这些镜像具有以下优势：

• 显著减少CVE数量（某些情况下从100+降至0）
• 提供VEX声明、已知可利用漏洞（KEV）和EPSS评分，便于漏洞管理
• 提供自助服务的UI/API，具备强大的报告和元数据功能
• 提供更高级的Helm图表，如Bitnami的“无发行版图表”，攻击面减少83%
• 支持通过SLSA 3级认证的软件工厂定制镜像
• 镜像和图表将直接交付到每个客户的私有安全OCI注册表，而非依赖有速率限制的公共注册表
• 提供超过90种OVA格式的虚拟机镜像
• 提供企业级支持，解决打包和安装问题

切换到Bitnami Legacy注册表

Bitnami Legacy注册表是一个临时解决方案，提供不受支持的软件。由于该注册表不会长期维护，镜像将逐渐积累未修补的漏洞。因此，建议用户尽快迁移到其他选项，或将其使用的镜像复制到自己的注册表中。

为何现在是提升开源安全性和合规性的好时机？

开源软件的使用正在迅速增长，但恶意软件包的数量也在激增。根据Sonatype的数据，2019年至2023年发现的恶意软件包数量已超过24.5万，是之前所有年份总和的两倍。此外，欧盟的《网络弹性法案》要求企业对其使用的开源软件提供安全保证。因此，使用未经认证的开源软件可能带来法律风险。

Bitnami安全镜像的推出恰逢其时，帮助企业在复杂的开源环境中提升安全性和合规性。BSI不仅提供了行业领先的供应链安全，还通过低总拥有成本（TCO）使更多企业能够负担得起。

竞争对手的误导性言论

一些竞争对手声称Bitnami正在“从公共访问中撤回其免费容器镜像和Helm图表”，但这一说法并不准确。Bitnami的Helm图表仍然是开源项目，遵循Apache 2.0许可证，用户仍可在GitHub上免费获取。变更的主要是构建的OCI工件，Bitnami需要为公共用户提供OCI注册表的成本非常高。因此，用户仍可免费访问Helm图表源代码，但若需要构建和托管在OCI注册表中的镜像和图表，则需要订阅。

8月28日变更的具体实施

从8月28日开始，Bitnami将逐步清理注册表中的镜像，以便为新的安全镜像腾出空间。由于涉及84TB的OCI内容，具体哪些镜像何时被移除尚无法精确预测。因此，建议用户从8月28日起为关键业务功能使用的镜像准备备用注册表。

Bitnami主注册表将逐步引入免费的Bitnami安全镜像，这些基于Photon Linux的加固镜像与之前的Debian镜像同名，因此无法共存于同一注册表。Bitnami希望新用户从安全镜像开始使用，因为这代表了开源软件的未来。

更多详细信息可参考此FAQ。

1. 对Broadcom和Bitnami商业化的批评：

   • 评论2：Broadcom试图通过VMware许可变更等手段，挑战Oracle成为“最邪恶软件供应商”的地位。
     • "Between the VMware licensing changes and this, it looks like Broadcom is making a serious play at dethroning Oracle as the most evil software vendor."
   • 评论12：Broadcom的商业模式可能会限制采用，最终导致用户回归开源解决方案。
     • "Over time it will limit adoption and ultimately just make everyone go back to the native open source offering, cutting bitnami/Broadcom out of the loop."

2. 对Bitnami镜像的依赖和替代方案的讨论：

   • 评论1：询问是否有镜像更新的计划。
     • "Is anyone working on mirroring the images and keeping them updated?"
   • 评论13：Bitnami镜像存在复杂性和配置问题，建议使用官方镜像或自行构建。
     • "They always used complicated entrypoint and setup scripts, and introduced weird quirks to the software."

3. 对Bitnami商业模式的质疑：

   • 评论11：Bitnami依赖开源软件进行包装，却试图商业化，质疑其版权合法性。
     • "Because if you keep it private I understand, but here it is basically for each package just a few lines, recipes to build the components that they don’t own."
   • 评论16：Bitnami的订阅模式被视为勒索，无法与市场上的其他选项竞争。
     • "This is such a naive take. Bitnami images were a sign of goodwill, a foot in the door at places were the hardened images were actually needed."

4. 对技术细节和用户体验的关注：

   • 评论8：建议缩短计划停机时间，以减少对用户系统的影响。
     • "Wouldn’t it be better to do shorter bouts of scheduled unavailability so unknowing people’s systems will boot up without manual intervention, but still generate lots of nasty logs / alerts?"
   • 评论10：建议创建新的Docker仓库，保留旧镜像以避免破坏现有系统。
     • "why not create docker.io/bsi and let /bitnami as is without new updates? Then nothing breaks; it just won’t be possible to do upgrades."

总结：评论中对Broadcom和Bitnami的商业化策略普遍持批评态度，认为其可能限制用户采用并导致回归开源解决方案。同时，用户对Bitnami镜像的依赖和替代方案进行了讨论，并对其技术细节和用户体验提出了改进建议。