いつの間にかBitnamiのDockerイメージがpullできない状態になっていた。
調べたら、Broadcomが Bitnami Secure Images という新しい商用サービスを発表し、それに伴って従来の無償Bitnamiイメージが整理されているらしい。
以下、簡単に要約
Bitnami Secure Imagesとは?
セキュリティ強化済みのコンテナとHelmチャートを提供
OS部分を最小化して攻撃面を減らし、アップストリームのパッチが出てから数時間以内に更新される。
“...continuously built images that are updated within hours of upstream patches, and a more transparent view of their true security posture.”
CVEの“透明性”を重視
Known Exploited Vulnerabilities (KEV) や VulnCheck、VEX などのフィードを活用し、既知の脆弱性を徹底的に公開。
“Radically transparent security with full visibility into known CVEs through the industry standard Known Exploited Vulnerabilities Catalog (KEV), VulnCheck, and Vulnerability Exploitability Exchange (VEX) security feeds.”
エンタープライズ向けサポート
280以上のハードニング済みコンテナ、118以上のHelmチャートを用意。SBOMやSLSA3対応も。
“More than 280 hardened container applications… More than 118 Helm charts that provide a consistent, enterprise-ready format… Software bill of materials (SBOMs) that comply with United States Executive Order 14028, including SLSA 3 supply chain attestation signatures…”
軽量化されたdistro-lessイメージ
他の一般的なイメージに比べて最大83%小さく、必要なパッケージ数も半減。
“New distro-less application Helm charts for popular applications that are up to 83% smaller and up to half the number packages required at runtime compared to other popular container images.*”
無償Bitnamiイメージはどうなるのか?
- 2025年8月28日以降、Debianベースの非ハードニングイメージは非推奨
- 無償版では「latest」タグのみ残り、過去バージョンは消えていく。
“beginning August 28th, 2025, the Bitnami team at Broadcom will begin to deprecate support for non-hardened Debian-based software images available in its free tier and gradually remove the non-latest images from its catalog.”
- 古いDebianイメージは「Bitnami Legacy Registry」に移動。ただしサポートもパッチも無し
“the entire historical archive of Debian images and charts will be moved to a new location: Bitnami Legacy Registry. This temporary mirror… However, these Debian images will no longer receive security patches, are unsupported software…”
なぜこうなった?
- OSS利用が増える中で「脆弱性対応が追いつかない」「古いイメージを放置して使われる」のが大問題になっていた。
- Broadcom/Bitnamiとしては「セキュリティを強化したエンタープライズ版に一本化」したい。
ということらしい
“Given this widespread adoption, Broadcom recognizes the need to focus on offering only the highest quality images and providing radical transparency around known CVEs to support the teams responsible for keeping millions of software packages patched and up-to-date.”
開発者としてどうすればいい?
- 開発環境なら、これまで通り community版(latestタグのみ) が使える。
“These free images are intended for development and only available on the “latest” tag.”
- 本番環境で安定したバージョンや長期サポートが欲しいなら、Bitnami Secure Images(有償) を検討する必要がある。
“For production use, users can access all of the versions, including long-term support branches with the commercial version of Bitnami Secure Images.”
- どうしても古いDebianイメージが必要なら「Bitnami Legacy Registry」からpullできるが、セキュリティリスクは自己責任。
まとめ
Broadcomの方針転換によって 無償イメージが縮小され、古いイメージは引っ張れなくなった。
無償 → 最新のハードニング済みイメージ(latestタグのみ)
有償 → バージョン固定・長期サポート・エンタープライズ対応
という棲み分けになったみたい。
当然の流れではあるのだけど、最近無償のソフトウェアはどんどん減ってきている気がするし、なんだかなぁという感じ。