docker.io/Bitnami kaldırılıyor

 (community.broadcom.com)
2 puan yazan GN⁺ 2025-08-30 | 2 yorum | WhatsApp'ta paylaş
  • Bitnami ekibi, docker.io/bitnami genel kataloğunun kaldırılma tarihini 29 Eylül olarak erteledi
  • Kaldırma öncesinde kullanıcıların uyum sağlamasına yardımcı olmak için birden fazla brownout (bazı imajların geçici olarak engellenmesi) uygulanacak
  • Bundan sonra Bitnami’nin container imajları ve Helm chart’ları, güçlü güvenlik özellikleri uygulanan Bitnami Secure Images (BSI) veya Bitnami Legacy Registry’ye taşınacak
  • BSI imajları geliştirme ve test amaçları için ücretsiz sunulsa da, tüm imajlar ve uzun vadeli destek gerekiyorsa ücretli abonelik gerekiyor
  • Açık kaynak tedarik zinciri güvenliği ve düzenleyici değişikliklere yanıt olarak, mevcut yöntemden geçiş gerekli hale geldi

Bitnami docker.io genel kataloğunun kaldırılma takvimi ve yapılması gerekenler

Güncelleme

  • Bitnami ekibi, topluluk görüşleri ve etki değerlendirmesi sonrasında, docker.io/bitnami genel kataloğunun kaldırılma tarihini 29 Eylül 2024 olarak erteledi
  • Registry silinmeden önce, kullanıcıların değişikliği fark edebilmesi için brownout (bazı container imajlarının 24 saat boyunca geçici olarak engellenmesi) 3 kez uygulanacak
    • 28 Ağustos 08:00 UTC ~ 29 Ağustos 08:00 UTC
    • 2 Eylül 08:00 UTC ~ 3 Eylül 08:00 UTC
    • 17 Eylül 08:00 UTC ~ 18 Eylül 08:00 UTC
  • Her brownout için etkilenen imajlar aynı gün duyurulacak
  • 28 Ağustos’tan itibaren Bitnami container imajları ve Helm chart’ları Docker Hub’a artık yeni formatta (OCI) dağıtılmayacak
  • Container ve Helm chart kaynak kodları GitHub’da Apache 2.0 lisansı ile sunulmaya devam edecek

Neler değişiyor

  • 28 Ağustos’tan itibaren Bitnami, mevcut OCI registry’sini (chart’lar ve imajlar) Bitnami Legacy’ye taşıyacak ve sonrasında güvenliği güçlendirilmiş yeni imajlara geçecek

  • Mevcut imajları kullanıyorsanız, otomasyon pipeline’larının, dahili mirror’ların ve Kubernetes cluster’larının imaj pull yollarını yeni konuma değiştirmeniz gerekiyor

  • Kullanıcıların seçebileceği seçenekler

    1. Bitnami Secure Images (BSI)’a geçmek
    2. Bitnami Legacy Registry’ye geçmek (geçici)

  • Sistem sürekliliği ve işlevselliğin korunması için Bitnami Secure Images (BSI)’a geçiş öneriliyor

  • BSI kullanıldığında, güçlendirilmiş imajlar sayesinde güvenlik ve uyumluluk kapasitesi artıyor

Bitnami Secure Images (BSI)’a geçiş

  • Bazı BSI imajları geliştirme ve test amaçları için ücretsiz sunulsa da, tüm katalog, kararlı tag’ler ve uzun vadeli destek sürümleri gibi özellikler ücretli abonelikle kullanılabiliyor
  • BSI aboneleri, bundan sonra da Bitnami’nin Debian tabanlı tam imaj kataloğunu ve güncellemeleri almaya devam edecek
  • Daha da güçlendirilmiş Photon Linux tabanlı imajlara yükseltme ve geçiş öneriliyor
    • Mevcut Debian imajlarıyla uyumludur ve Helm chart’ları da aynı şekilde kullanılabilir
  • Photon tabanlı imajların başlıca avantajları
    • CVE sayısında büyük düşüş (100+’dan 0’a inen örnekler de var)
    • VEX teşhis desteği, KEV/EPSS skor entegrasyonu ile güvenlik açığı yönetimi kolaylaşıyor
    • Güçlü raporlama ve metadata özelliklerine sahip self-service UI/API
    • Saldırı yüzeyini %83 azaltan distroless chart’lar gibi gelişmiş Helm chart desteği
    • SLSA 3 uyumlu (tedarik zinciri güvenlik standardı) yazılım fabrikasında build edilen imajların özelleştirilebilmesi
    • Müşteriye özel private güvenli OCI registry sağlanması (Docker Hub’ın aksine Public/Rate limit’ten bağımsız)
    • 90’dan fazla OVA formatında VM imajı kullanılabilmesi
    • Paketleme ve kurulumla ilgili kurumsal destek

Bitnami Legacy Registry’ye geçiş

  • Geçici çözüm olarak mevcut Bitnami kullanıcılarına Bitnami Legacy Registry sunuluyor
    • Desteklenmeyen arşiv formatındaki imajlardır (güvenlik yamaları vb. uygulanmaz)
    • Uzun vadeli sunum planı yoktur: hızla güvenlik açıkları birikmesi ve eskime riski taşır
    • Geçici olarak kullanılacaksa, gerekli imajların ayrıca kurumun kendi registry’sine kopyalanması önerilir
    • Temelde ise yeni güvenliği güçlendirilmiş sisteme (BSI) hızlı geçiş gerekir

Açık kaynak tedarik zinciri güvenliği ve uyumluluk geçişi neden gerekli

  • Son dönemde açık kaynak ekosistemindeki değişimler ve kötü amaçlı paketlerdeki büyük artış (Sonatype verilerine göre 2019~2023 arasında 245.000’den fazla) bunun başlıca arka planını oluşturuyor
    • Bu sayı, önceki tüm dönemlerin toplamının 2 katı düzeyinde
  • Yapay zeka/model ekosisteminin büyümesiyle birlikte açık kaynak kullanımı ciddi biçimde artıyor → saldırı yüzeyi ve risk de büyüyor
  • Cyber Resilience Act (AB) gibi düzenlemeler nedeniyle, açık kaynak yazılımın kaynağı ve bütünlüğü konusunda kanıt yükümlülüğü doğuyor
  • Bitnami Secure Images ile kuruluşlara tedarik zinciri güvenliği ve uyumluluğu kolayca hayata geçirebilecekleri bir ortam sunuluyor
    • Düşük TCO (toplam sahip olma maliyeti) ile güvenlik ve regülasyon maliyeti yükü azaltılıyor
    • Karmaşıklaşan açık kaynak yazılım ortamını sağlam biçimde yönetebilecek bir temel oluşturuluyor

Bitnami değişikliği hakkında rakiplerin iddiaları

  • Bazı rakipler, Bitnami’nin "ücretsiz genel imajları ve Helm chart’ları kaldırdığı" yönünde yanlış anlaşılmaya yol açıyor
    • Oysa Helm chart’ları Apache 2 lisansı ile GitHub’da açık kalmaya devam edecek
    • Değişimin odak noktası OCI artifact’larıdır (build edilmiş imajlar)
    • Büyük ölçekli build/dağıtım pipeline’ları ve registry işletme maliyetleri çok yüksektir; bunları düşük maliyetle sunmak mümkün değildir
    • Helm chart kaynakları (Debian imajları dahil) herkes için ücretsiz erişilebilir olmaya devam eder
  • Şirketlerin doğrudan OCI build imajlarına ihtiyaç duyması halinde, BSI aboneliği üzerinden destek alması gerekir; bu da daha iyi güvenlik ve stratejik OSS kullanımı sağlamanın bir yoludur

28 Ağustos sonrasında somut geçiş yöntemi

  • 28 Ağustos’tan itibaren Bitnami repo’su imajları aşamalı olarak düzenlemeye başlayacak; tüm geçiş işlemleri tek seferde olmayacak
  • Birkaç hafta boyunca imaj silme/taşıma işlemi kademeli ilerleyecek → bu, kullanıcı karmaşasını en aza indirmeyi amaçlıyor
    • 84 TB büyüklüğündeki OCI içeriğinin işlenmesi nedeniyle hangi imajın tam olarak ne zaman silineceği belirsiz
    • 28 Ağustos’tan itibaren kritik iş fonksiyonları için gereken imajlar adına alternatif registry hazırlığı yapılmalı
  • Yeni Bitnami registry’sine, güçlendirilmiş Photon imajları önceki Debian imajlarıyla aynı adlarla yüklenecek
  • Mevcut ve yeni kullanıcılar, güvenliği güçlendirilmiş imajlar aracılığıyla modern açık kaynak ortamının gereksinimlerine yanıt verebilecek
  • Geçişle ilgili ayrıntılar Bitnami FAQ içinde görülebilir

İlgili okumalar

2 yorum

 
jic5760 2025-08-31

Topluluk içinde Bitnami’yi sürdürmek için dün Bitmoa’yı oluşturdum.
Amaç, en az değişiklikle (ENV düzeyinde) bitnami imajlarının yerine geçmek.

https://github.com/bitmoa/containers (GH action ile imajlar build ediliyor)
https://github.com/bitmoa/charts
 
GN⁺ 2025-08-30
Hacker News görüşleri
  • Açık yazılımı sadece ‘paketleyip’ katkı yapmadan Oracle tarzı ticari bir modele geçmeyi düşünmeleri biraz şaşırtıcı, ama emeklerini küçümsemek gibi bir niyetim yok; gerçekten telif hakkı iddia edebilecekleri kısmın ne kadar olduğu ise soru işareti. Çoğu paket birkaç satırlık birleştirme tarifinden ibaret ve sanki fiilen make build gibi bir komut satırına telif koymaya çalışıyorlarmış hissi veriyor; ayrıca ortaya çıkan binary dağıtımı da açık kaynak lisanslıysa kullanıcıların kaynak kodu, derleme yöntemi ve yeniden dağıtım hakkına sahip olması gerekir.
    • Bitnami’nin hazırladığı Makefile gibi şeyler ciddi emek içeriyor; çeşitli yazılımları yalnızca ortam değişkenleriyle kullanılabilir hale getirmek hiç de kolay değil. Örnek bağlantı bakmaya değer; şu anda belirli bir kullanıcı kitlesi için ticari lisans yeterince değerli olabilir.
    • Asıl daha önemli değer büyük ihtimalle Helm chart'lar olabilir. Ancak resmi image'lar zaten alternatif olarak mevcut olduğu için özellikle Bitnami’nin Node ya da Postgres image'larını kullanmak için güçlü bir neden yok; bu yüzden insanların gerçekte Bitnami’nin Helm chart'larını ne kadar kullandığı belirsiz.
  • Bitnami’nin sunduğu hardened image'lar goodwill göstergesiydi ve gerçekten ihtiyaç olan yerde ilk adımı atmayı sağlıyordu. Ama piyasadaki daha iyi seçeneklerle rekabet edemedi. Bu ‘abonelik’ dönüşümü bir çözüm değil, daha çok dayatma gibi duruyor. Terraform Cloud’un yaptığını andırıyor; onların da bugünlerde durumunun iyi olmadığını düşünüyorum. Bitnami’nin katkısı gerçekte birkaç config seçeneği eklemekten ibaret; OperatorFramework capability açısından bakınca ancak seviye 2 hatta 1 düzeyinde denebilir. Referans bağlantı
    • Bitnami’nin eskiden ücretsiz verdiği şeyi artık vermemesi yüzünden kullanıcıların alternatif aramak zorunda kalmasını ‘dayatma’ diye nitelemek bence abartılı. Bunu ücretsiz sunmuş olmaları bile başlı başına teşekkür edilecek bir şey.
    • Daha önce ücretsiz verdiğini artık vermeyeceğini söylemeye dayatma demek aşırı bir ifade. Şimdi bunu kendimiz yapmak zorunda kalacağımız için sadece hayal kırıklığı var.
    • Broadcom’un nasıl bir şirket olduğu konusunda bir karışıklık var gibi. Broadcom, ‘uzun vadeli sağlık’ ile ilgilenen bir şirket değil. Bir ürünü satın alınca çalışanların %90’ını işten çıkarıp lisans ve destek ücretlerini 2 ila 100 kat artıran bir yapıları var. Fortune 500 şirketlerinin kolay kolay vazgeçemeyeceği özelliklerden yararlanıp yaklaşık 5 yıllık sözleşmelerle sürekli gelir çekiyorlar. Piyasa tepkisini de umursamıyorlar; hukuki itiraz olsa bile sonuçta fiyat artışının etkisi kalıyor.
    • 2025’te bir altyapı şirketi olarak önce geliştiriciler arasında popülerlik kazanıp sonra bunu gelire çevirme stratejisi çalışmıyor. En baştan gelir üretmek gerekiyor ve sonuçta tek hedef enterprise pazarı oluyor. Herkes de o dar pazarı kapmak için yarışıyor.
    • Ekledikleri değer çok küçük olabilir, ama artık o küçük şeyi bile ikame etmekte zorlanan kullanıcıların yaşadığı sıkıntının ne anlama geldiğini düşünmek lazım.
  • Sonuçta işin içinde CSR de var ve bu geçişi mümkün kılan da CSR. EU Cyber Residence Act düzenlemesi açık kaynak ekosisteminde büyük değişiklikler yaratabilir. Artık açık kaynak tabanlı ürünleri ticari olarak sunan şirketlerin güvenlik ve dokümantasyon kurallarına sıkı biçimde uyması gerekiyor; saf açık kaynak projeleri buna dahil değil ama para karşılığı dağıtım yapınca hukuki yükümlülük doğuyor. Sonunda compliance framework'ü hizmet olarak satmak yeni fırsat gibi görünüyor.
    • CSR yüzünden mutlaka yalnızca ücretli güvenlik image'ları sunmak zorunda değiller. İsterlerse ücretsiz de sunabilirler, sadece ticari kullanım için ücretli modele de geçebilirler.
    • Ticari olarak açık kaynak artı hizmet satıyorsanız, CSR’ye uygun compliance çalışması zorunlu. Sonuçta açık ya da ticari olması fark etmeksizin benzer çaba gerekiyor.
  • Alternatif gerekiyorsa Twistlock ekibi Minimus’u başlattı. Kaynaktan doğrudan derleyip neredeyse hiç zafiyet içermeyen image'ları sürekli sağlıyorlar. Bitnami ile aynı şekilde drop-in replacement da sunuyorlar. Kullanım, araçlar ya da müşteri örnekleri hakkında sorunuz varsa her zaman memnuniyetle cevaplarım. Karşılaştırma ve bilgilendirme yazısı
    • Minimus’un kayıt formu “bireysel” ve “kurum” ayrımı yapıyor ama şirket adı alanını zorunlu tutması garip; yalnızca pazarlama amacı taşıyor gibi görünüyor.
    • Blogdaki Minimus ile Bitnami Secure Images karşılaştırmasını biraz daha anlaşılır özetleyeyim: Bitnami Secure Images, Photon tabanlı olarak derleniyor; zafiyet ya da yeni sürüm çıktığında otomatik olarak derlenip test edilip dağıtılıyor. Kullanıcının sadece en güncel sürümü kullanması yeterli oluyor; böylece CVE takibi ve manuel yama ihtiyacı ortadan kalkıyor.
    • En büyük mesele fiyat. Chainguard ya da Docker secure images için de fiyatı duyunca ilgimi kaybetmiştim. Minimus’un fiyat bilgisi sitenin hiçbir yerinde yok; bu da çoğu kişinin kullanamayacağı kadar pahalı olduğu şüphesini doğuruyor.
    • Minimus’un bir işletim sistemi olup olmadığını merak ediyorum. Bitnami ise hâlâ açık kaynak bir proje olarak kaynaktan doğrudan image derlemenize izin veriyor.
    • Minimus tarafında docker-credential helper'ı doğrudan kendileri uygularsa iyi olur; Chainguard’ın docker-credential-cgr aracını örnek alabilirler. Sadece “docker credential store destekliyor, gerisini siz halledin” denip geçilmemeli. Referans
  • Lisans ücretine baktım, yıllık $50,000 üzeri; yani benim hedef pazarım değil.
    • Resmi açıklamada ‘BSI açık kaynak güvenliğini ve compliance'ı demokratikleştiriyor’ deniyor ama $50,000 kesinlikle ‘demokratikleştirme’ sayılmaz.
    • Terminoloji kafa karıştırıcı olsa da gerçekte olan şey, eskiden ücretsiz sunulan çeşitli image'ların ücretli hale getirilmesi. Docker dosyalarını hâlâ alabiliyorsunuz ve Docker Hub image'larını da kullanabiliyorsunuz. Ancak ücretsiz olanlar ‘geliştirme amaçlı’ (production kullanımı için kısıtlı), gerçek ‘secure’ image'lar ise Photon OS üzerinde derlenip güvenlik süreçlerinden geçiyor. Sunulan hizmet dışında bir engel koymuyorlar.
    • Mevcut kullanıcı tabanını güncellemesiz bırakıp gelir elde etmenin en kolay stratejisi bu; biraz komik bir durum.
  • Neredeyse 2 yıl önce enterprise tarafta Bitnami’den çıkılması yönünde tavsiye vermiştim; tam da şimdi o projenin bitiyor olması, öngörümün doğru çıktığını hissettiriyor.
  • VMware lisans değişiklikleriyle birlikte Broadcom’un Oracle’ın yerini almaya çalıştığı açıkça görülüyor; rekabetin bu kadar sertleşmesi üzücü.
    • Broadcom’un Spring ekosistemini nasıl gelir modeline bağlayacağını merakla bekliyorum (!). Büyük şirketlerin neredeyse hepsi Spring kullanıyor; bu yüzden er ya da geç yaşanması kaçınılmaz gibi.
    • Broadcom aslında adını 2015-2016’da Avago Technologies’in satın alıp kullandığı şirket; gerçek Broadcom’un alanı ve IP’sinin büyük kısmı çoktan satıldı.
    • Broadcom’un gerçekte ne kadar ‘acımasız’ olduğunu öğrenince, bu mesele bile önemsiz görünebilir. Yine de kısa vadede kullanıcı tarafı için bazı faydalar doğabilir.
    • Bitnami’deki mühendislerin önemli bir kısmı muhtemelen bu kararların hepsine katılmıyordur.
    • Microsoft var olduğu sürece Broadcom ve Oracle gibi şirketler ‘kötülük sıralamasında’ ikincilik için yarışıyor.
  • Yazılım projeleri ya (1) bizzat sizin yönettiğiniz ya da para ödeyip bakımını yaptırdığınız koddan ya da (2) bir gün uyumsuz bir sürümle değiştirmek zorunda kalacağınız çöplük kodlardan oluşur. Sadece çöplük kodları bir araya getirmek bile yeterince akıllıca bir kumar olabilir, ama bağımlılıkların kaynağı üçüncü tarafsa onların bunu sonsuza kadar sürdüreceğini asla varsaymamak gerekir. Gerçek risk yönetimi, ilgili projenin yaşam döngüsünün bağımlılıklardan daha kısa olacağını kabul etmekten geçer.
  • Broadcom’un mobil tarafta en temel işleri bile becerememesi üzücü. Bu arada docker.io/bsi diye ayrı bir repo açıp /bitnamiyi eski sürüm olarak bıraksalardı hiçbir şey kırılmazdı; kullanıcılar da zaman içinde kendi başlarına geçiş yapabilirdi. Böylece neden upgrade gelmediği de doğal biçimde anlatılmış olurdu.
    • Bitnami, ücretsiz güvenlik güncellemelerini durduracağını açıkça belirtip kullanıcıların riski bilinçli biçimde kabul etmesini sağlamalıydı. Yeterli ön bildirimden sonra /bitnamiyi /bitnamilegacyye taşımak da makul bir yöntem olurdu.
    • “bitnami” adının kendisi marka değeri taşıyor; yeni hizmet satarken bu adı kullanmaya devam etmeleri iş açısından mantıklı bir tercih.
    • Broadcom’un mobil taraftaki beceriksizliği, Rally’nin UI tasarımının aşırı eski kalmış olmasıyla aynı hissi veriyor.
  • Bitnami’nin image ve paket convention'larını hiç anlayamıyorum. Gerçekte kullanınca aşırı karmaşık geliyor ve özel kuralları uğraştırıcı olduğu için hoşuma gitmedi. Sıradan bir base üzerinde basit paketler yerine tuhaf bir yapıları var; bir şeyi değiştirmeye kalkınca tam anlamıyla kaos.
    • Kendi kurallarını dayatıp üstüne karmaşık script'ler eklemişler; her image'ı kullanmak için ayrıca dokümantasyon okumak gerekiyor. Resmi temel dokümanlarla da uyumlu olmadığı için sinir bozucuydu.
    • Bir zamanlar rootless çalışan base image'ları kolay bulmak için Bitnami image'larını kullanıyordum; eskiden resmi depolarda postgres gibi şeyler için rootless yapılandırma zordu. Ama Bitnami image'larında uid ya da config yolu gibi detaylar farklı olduğu için her seferinde Dockerfile’ı tek tek okumak gerekiyordu.
    • Bitnami aslında bir dönem Windows üzerinde Wordpress çalıştırmak için popülerdi. Windows Server’da doğrudan kullanılabilir hale getirdikleri için o dönemde faydalıydı. Bugün bunu işle yapsanız belki kovulursunuz ama o zamanlar Linux’un yaygınlaşması daha yavaştı, yani ihtiyaç duyulan bir hizmetti.
    • Bu paketleme convention'ları hakkında bakmaya değer kaynaklar var mı merak ediyorum. Görünen o ki çoğu kişi proje sahiplerinin resmi image'larını temel alıp üstüne kendi özelleştirmesini yaparak kendi image'larını üretiyor.