Eliminación de docker.io/Bitnami

 (community.broadcom.com)
2 puntos por GN⁺ 2025-08-30 | 2 comentarios | Compartir por WhatsApp
  • El equipo de Bitnami aplazó la fecha de eliminación del catálogo público de docker.io/bitnami al 29 de septiembre
  • Antes de la eliminación, realizará varias rondas de brownout (bloqueo temporal parcial de algunas imágenes) para ayudar a los usuarios a adaptarse
  • En adelante, las imágenes de contenedores y charts de Helm de Bitnami se trasladarán a Bitnami Secure Images (BSI), con funciones de seguridad reforzadas, o al Bitnami Legacy Registry
  • Las imágenes de BSI se ofrecen gratis para desarrollo y pruebas, pero si se requiere el catálogo completo y soporte a largo plazo, se necesita una suscripción de pago
  • Debido a los cambios en la seguridad de la cadena de suministro de código abierto y en las regulaciones, se volvió necesario abandonar el esquema anterior

Guía sobre el calendario de eliminación del catálogo público de Bitnami en docker.io y cómo prepararse

Actualización

  • Tras evaluar los comentarios de la comunidad y el impacto, el equipo de Bitnami aplazó la fecha de eliminación del catálogo público de docker.io/bitnami al 29 de septiembre de 2024
  • Antes de eliminar el registro, planea realizar 3 rondas de brownout (bloqueo temporal de 24 horas de algunas imágenes de contenedores) para que los usuarios identifiquen el cambio
    • 28 de agosto 08:00 UTC ~ 29 de agosto 08:00 UTC
    • 2 de septiembre 08:00 UTC ~ 3 de septiembre 08:00 UTC
    • 17 de septiembre 08:00 UTC ~ 18 de septiembre 08:00 UTC
  • Las imágenes afectadas en cada brownout se anunciarán el mismo día
  • A partir del 28 de agosto, Bitnami dejará de distribuir imágenes de contenedores y charts de Helm en Docker Hub en el nuevo formato (OCI)
  • El código fuente de los contenedores y los charts de Helm seguirá disponible en GitHub bajo licencia Apache 2.0

Qué cambia

  • Desde el 28 de agosto, Bitnami moverá su registro OCI existente (charts e imágenes) a Bitnami Legacy y luego hará la transición a nuevas imágenes con seguridad reforzada

  • Si usas las imágenes actuales, debes cambiar la ruta de pull de imágenes en pipelines automatizados, mirrors internos y clústeres de Kubernetes hacia la nueva ubicación

  • Opciones disponibles para los usuarios

    1. Migrar a Bitnami Secure Images (BSI)
    2. Migrar al Bitnami Legacy Registry (temporal)

  • Para mantener la continuidad y la funcionalidad del sistema, se recomienda migrar a Bitnami Secure Images (BSI)

  • Usar BSI ofrece la ventaja de mejorar la capacidad de respuesta en seguridad y compliance mediante imágenes reforzadas

Migración a Bitnami Secure Images (BSI)

  • Algunas imágenes de BSI se ofrecen gratis para desarrollo y pruebas, pero el catálogo completo, etiquetas estables y versiones con soporte a largo plazo requieren suscripción de pago
  • Los suscriptores de BSI seguirán recibiendo el catálogo completo de imágenes de Bitnami basadas en Debian y sus actualizaciones
  • Se recomienda actualizar y migrar a imágenes basadas en Photon Linux todavía más reforzadas
    • Son compatibles con las imágenes Debian existentes y los charts de Helm se pueden seguir usando de la misma forma
  • Principales ventajas de las imágenes basadas en Photon
    • Reducción drástica del número de CVE (de más de 100 a incluso 0 en algunos casos)
    • Soporte para diagnósticos VEX e integración con puntajes KEV/EPSS, facilitando la gestión de vulnerabilidades
    • UI/API de autoservicio con capacidades sólidas de reportes y metadatos
    • Soporte para charts avanzados de Helm, como charts distroless que reducen la superficie de ataque en 83%
    • Posibilidad de personalizar imágenes compiladas en una fábrica de software compatible con SLSA 3 (estándar de seguridad de la cadena de suministro)
    • Registro OCI privado de seguridad dedicado para clientes (sin depender de límites públicos o rate limits de Docker Hub)
    • Disponibilidad de más de 90 imágenes de VM en formato OVA
    • Soporte empresarial para empaquetado e instalación

Migración al Bitnami Legacy Registry

  • Como medida temporal, se ofrece a los usuarios actuales de Bitnami el Bitnami Legacy Registry
    • Son imágenes en formato de archivo no soportado (sin parches de seguridad, etc.)
    • No hay plan de ofrecerlo a largo plazo: existe el riesgo de acumulación rápida de vulnerabilidades y obsolescencia
    • Si se va a usar temporalmente, se recomienda copiar las imágenes necesarias a un registro propio
    • En el fondo, sigue siendo necesario migrar rápido al nuevo sistema reforzado de seguridad (BSI)

Por qué es necesaria la transición en seguridad de la cadena de suministro open source y compliance

  • El contexto principal es el cambio reciente en el entorno open source y el fuerte aumento de paquetes maliciosos (más de 245,000 casos entre 2019 y 2023 según Sonatype)
    • Eso equivale aproximadamente al doble de todos los periodos anteriores juntos
  • Con el crecimiento del ecosistema de IA/modelos, el uso de open source también ha aumentado mucho → también crecen la superficie de ataque y el riesgo
  • Regulaciones como la Cyber Resilience Act (UE) están generando una responsabilidad de demostrar el origen y la integridad del software open source
  • Con la adopción de Bitnami Secure Images, se ofrece a las organizaciones un entorno para implementar fácilmente seguridad de la cadena de suministro y compliance
    • Menor TCO (costo total de propiedad) para reducir la carga de costos de seguridad y regulación
    • Base para gestionar de forma sólida un entorno de software open source cada vez más complejo

Afirmaciones de competidores sobre el cambio en Bitnami

  • Algunos competidores están generando la idea equivocada de que Bitnami "elimina las imágenes públicas gratuitas y los charts de Helm"
    • En realidad, los charts de Helm seguirán públicos en GitHub bajo licencia Apache 2
    • El cambio se centra en los artefactos OCI (imágenes compiladas)
    • Los costos de operar pipelines de compilación y despliegue a gran escala, así como de administrar registros, son muy altos, por lo que no es viable ofrecerlos a muy bajo costo
    • Cualquiera puede acceder gratis al código fuente de los charts de Helm (incluidas las imágenes Debian)
  • Si una empresa necesita directamente imágenes OCI compiladas, deberá recibir soporte mediante una suscripción a BSI, que es una vía para mejorar la seguridad y habilitar un uso estratégico del OSS

Forma concreta de migración después del 28 de agosto

  • Desde el 28 de agosto, el repositorio de Bitnami comenzará una limpieza por etapas de las imágenes, por lo que todos los cambios no ocurrirán de una sola vez
  • La eliminación/migración de imágenes avanzará gradualmente durante varias semanas para minimizar la confusión de los usuarios
    • Debido al manejo de 84 TB de contenido OCI a gran escala, no está claro exactamente qué imágenes se eliminarán y cuándo
    • Desde el 28 de agosto, las imágenes necesarias para funciones críticas del negocio requieren un registro alternativo preparado
  • En el nuevo registro de Bitnami, las imágenes reforzadas de Photon se subirán con el mismo nombre que las imágenes Debian anteriores
  • Tanto usuarios actuales como nuevos podrán responder a los requisitos del entorno open source moderno mediante imágenes con seguridad reforzada
  • Puedes consultar los detalles de la migración en el FAQ de Bitnami

Lecturas relacionadas

2 comentarios

 
jic5760 2025-08-31

Ayer creé Bitmoa para mantener Bitnami dentro de la comunidad.
El objetivo es reemplazar las imágenes de Bitnami con cambios mínimos (como ENV).

https://github.com/bitmoa/containers (las imágenes se construyen con GH action)
https://github.com/bitmoa/charts
 
GN⁺ 2025-08-30
Comentarios en Hacker News
  • Sorprende un poco que, limitándose a solo “empaquetar” software abierto sin contribuir de vuelta, ahora piensen pasarse a un modelo comercial al estilo Oracle, aunque no es con intención de menospreciar su trabajo; queda la duda de cuánto de eso realmente puede reclamarse como copyright, porque en la mayoría de los casos cada paquete no es más que unas cuantas líneas de receta, y da la impresión de que quieren ponerle copyright a algo como una línea de comando tipo make build; además, si la distribución de los binarios generados está bajo una licencia open source, entonces los usuarios deberían conservar el código fuente, la forma de compilarlo y el derecho a redistribuirlo
    • Las partes creadas por Bitnami, como sus Makefiles, sí representan un esfuerzo considerable, y hacer que distintos programas puedan usarse solo con variables de entorno no es nada fácil; vale la pena ver este ejemplo, y para cierto tipo de usuarios una licencia comercial sí tiene suficiente valor
    • En realidad, el valor más importante probablemente esté en los Helm charts, pero como ya existen reemplazos en las imágenes oficiales, no hay una razón especial para usar precisamente las imágenes de Node o Postgres de Bitnami, así que queda la duda de cuánta gente usaba realmente los Helm charts de Bitnami
  • Las hardened images que ofrecía Bitnami eran una muestra de buena voluntad y servían como primer paso para quienes realmente las necesitaban, pero no lograron competir con opciones mejores en el mercado; este cambio a “suscripción” no parece una solución sino casi una venta forzada; es parecido a lo que hizo Terraform Cloud, y tampoco creo que a ellos les esté yendo muy bien hoy en día; la contribución de Bitnami en realidad apenas llega a agregar algunas opciones de configuración, así que en términos de capacidad de OperatorFramework apenas estaría por nivel 2 o incluso 1 referencia
    • Creo que es exagerado llamarlo “venta forzada” cuando Bitnami simplemente dejó de ofrecer algo gratis y ahora los usuarios tienen que buscar reemplazos; ya bastante es que lo hayan dado sin costo hasta ahora
    • Decir que es venta forzada solo porque ya no van a regalar algo es una expresión extrema; al final solo queda la molestia de que ahora toca hacerlo por cuenta propia
    • Parece haber confusión sobre qué tipo de empresa es Broadcom; Broadcom no es una compañía interesada en la “salud a largo plazo”; cuando adquiere un producto, despide al 90% del personal y sube de 2 a 100 veces los costos de licencia y soporte; aprovecha que las empresas Fortune 500 no pueden salir fácilmente de esos productos para exprimir contratos de unos 5 años; no le importa la reacción del mercado y, aunque haya disputas legales, su estrategia termina dejando el aumento de precios como hecho consumado
    • En 2025 ya no funciona la estrategia de una empresa de infraestructura de primero ganar popularidad entre desarrolladores y luego convertir eso en ingresos; ahora hay que generar ingresos desde el principio y al final el único objetivo es el mercado enterprise; todos están compitiendo por ese mercado estrecho
    • El valor agregado que dieron es muy pequeño, pero el hecho de que ahora haya usuarios sufriendo para reemplazar incluso eso también da algo en qué pensar
  • Al final también tiene que ver con la CSR y, a la vez, es una transición posible gracias a la CSR; la regulación del EU Cyber Residence Act podría cambiar mucho el ecosistema open source; ahora, las empresas que ofrecen comercialmente productos basados en open source deben cumplir estrictamente con requisitos de seguridad y documentación, así que aunque los proyectos puramente open source no entren en eso, en cuanto distribuyes algo a cambio de dinero aparece una carga legal; al final, vender marcos de compliance como servicio parece una nueva oportunidad
    • La CSR no obliga necesariamente a ofrecer solo imágenes seguras de pago; si quisieran, podrían seguir dándolas gratis, o cobrar únicamente las de uso comercial
    • Si vendes open source más servicios de forma comercial, el trabajo de compliance alineado con la CSR es obligatorio; al final, sea abierto o comercial, el esfuerzo requerido es el mismo
  • Si hace falta una alternativa, el equipo de Twistlock lanzó Minimus; compilan directamente desde el código fuente y mantienen imágenes con casi cero vulnerabilidades de forma continua; igual que Bitnami, también ofrecen reemplazo directo; si tienen dudas sobre uso, herramientas o casos de clientes, bienvenidas las preguntas; pueden ver este post comparativo y explicativo
    • El formulario de registro de Minimus distingue entre “persona” y “organización”, pero es raro que el nombre de la empresa sea obligatorio; parece que es solo para marketing
    • Para que se entienda un poco mejor el caso comparativo entre Minimus y Bitnami Secure Images en el blog: Bitnami Secure Images se construyen sobre Photon, y cuando aparece una vulnerabilidad o una nueva versión, se compilan, prueban y publican automáticamente; el usuario solo necesita usar la versión más reciente, sin preocuparse por monitorear CVE ni hacer parches manuales
    • El precio es el tema principal; también perdí el interés en Chainguard o en las Docker secure images después de escuchar sus precios; en el sitio web de Minimus no aparece información de precios por ningún lado, así que surge la sospecha de que probablemente sea demasiado caro para la mayoría
    • Me pregunto si Minimus es un sistema operativo; Bitnami sigue siendo un proyecto open source y todavía se pueden construir imágenes directamente desde el código fuente
    • Estaría bien que Minimus implementara directamente un helper de docker-credential, tomando como referencia docker-credential-cgr de Chainguard, en lugar de limitarse a decir “Docker soporta credential store, arréglatelas”; referencia
  • Viendo el costo de la licencia, más de $50,000 al año, claramente no es para mi mercado objetivo
    • En la explicación oficial dice que “BSI democratiza la seguridad y el compliance en open source”, pero no creo que $50,000 sea precisamente algo “democratizado”
    • La terminología es confusa, pero en la práctica están convirtiendo en pago varias imágenes que antes ofrecían gratis; todavía puedes obtener los Dockerfiles y usar las imágenes de Docker Hub, pero la parte gratuita queda para “desarrollo” (con limitaciones para producción), mientras que las imágenes realmente “secure” se construyen sobre Photon OS y pasan por procesos de seguridad; fuera del servicio ofrecido, no están bloqueando nada
    • Es la estrategia más fácil para generar ingresos dejando a la base de usuarios existente sin actualizaciones; tiene algo de irónico
  • Hace casi 2 años recomendé en enterprise migrar fuera de Bitnami, así que es satisfactorio ver que justo ahora ese proyecto probablemente ya esté terminando y que la predicción haya sido correcta
  • Junto con los cambios de licencia de VMware, parece claro que Broadcom está apuntando a ocupar el lugar de Oracle; da pena ver que la competencia se vuelva así de agresiva
    • Tengo “curiosidad” por ver cómo Broadcom va a monetizar el ecosistema Spring; en la práctica casi todas las grandes empresas usan Spring, así que parece algo inevitable tarde o temprano
    • En realidad, Broadcom es Avago Technologies, que en 2015-2016 solo compró el nombre; gran parte del territorio e IP de la Broadcom original ya se vendieron
    • Cuando entiendes lo realmente “brutal” que puede ser Broadcom, hasta este tema puede parecer poca cosa; aun así, para algunos usuarios en el corto plazo incluso podría resultarles beneficioso
    • Probablemente muchos de los ingenieros de Bitnami no estén de acuerdo con este tipo de decisiones
    • Mientras exista Microsoft, empresas como Broadcom y Oracle compiten más bien por el segundo lugar en el ranking del mal
  • Los proyectos de software se componen de: (1) código que uno mismo administra o por cuyo mantenimiento paga, y (2) código basura que tarde o temprano habrá que reemplazar por una versión incompatible; incluso limitarse a encadenar código basura puede ser una apuesta suficientemente inteligente, pero si las dependencias vienen de terceros, nunca hay que esperar que ellos las mantengan casi para siempre; la verdadera gestión de riesgos parte de asumir que la vida útil del proyecto será más corta que la de sus dependencias
  • Es una lástima que Broadcom ni siquiera sepa hacer bien el padding para móvil; dicho eso, podrían haber creado docker.io/bsi por separado y dejar /bitnami como legado, sin romper nada, para que los usuarios migraran por su cuenta y se les guiara naturalmente sobre por qué ya no habría upgrades
    • Si Bitnami iba a dejar de ofrecer actualizaciones de seguridad gratis, debería haber hecho que los usuarios aceptaran explícitamente asumir ese riesgo; tras un aviso con suficiente anticipación, algo como mover /bitnami a /bitnamilegacy también habría sido una forma razonable
    • El nombre “bitnami” en sí mismo tiene valor de marca, así que desde el punto de vista de negocio tiene sentido seguir usándolo para vender el nuevo servicio
    • El problema del padding de Broadcom da una sensación parecida a lo anticuado que se ve el diseño de la UI de Rally
  • Nunca he logrado entender las convenciones de imágenes y paquetes de Bitnami; al usarlas de verdad se sienten demasiado complejas, sus reglas personalizadas resultan engorrosas y no me gustaron nada; en vez de ser paquetes simples sobre una base normal, tienen una estructura rara y cuando quieres cambiar algo todo se vuelve un caos
    • Ignoran por completo las convenciones comunes y montaron scripts complejos encima, así que para usar cada imagen hay que leer documentación aparte; es frustrante que no coincidan con la documentación oficial básica
    • Hubo un tiempo en que usaba imágenes de Bitnami para conseguir fácilmente una base rootless, porque antes en los repositorios oficiales era complicado configurar postgres y otros así; pero cada imagen de Bitnami tenía UID o rutas de configuración distintas, así que siempre había que leer el Dockerfile uno por uno
    • Bitnami originalmente era popular para correr Wordpress en Windows; lo hicieron utilizable directamente en Windows Server, así que en esa época era realmente útil; quizás hoy te despedirían por trabajar así, pero entonces Linux todavía no se había masificado y era un servicio necesario
    • Me pregunto si existe algún recurso útil para entender este tipo de convenciones de empaquetado; da la impresión de que la práctica común es partir de la imagen oficial del proyecto, personalizarla cada quien y construir una imagen propia