2 पॉइंट द्वारा GN⁺ 2025-08-30 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • Bitnami टीम ने docker.io/bitnami सार्वजनिक कैटलॉग हटाने की तारीख 29 सितंबर तक बढ़ा दी है
  • हटाने से पहले यूज़र्स को बदलाव के अनुरूप ढलने में मदद करने के लिए कई बार brownout (कुछ images का अस्थायी ब्लॉक) किया जाएगा
  • आगे से Bitnami की container images और Helm charts को मजबूत सुरक्षा सुविधाओं वाले Bitnami Secure Images(BSI) या Bitnami Legacy Registry में स्थानांतरित किया जाएगा
  • BSI images development और testing उपयोग के लिए मुफ़्त हैं, लेकिन पूरा image catalog और long-term support चाहिए तो paid subscription आवश्यक है
  • open source supply chain security और बदलते regulatory requirements के जवाब में, पुराने तरीके से हटकर नए मॉडल में जाना ज़रूरी हो गया है

Bitnami docker.io सार्वजनिक कैटलॉग हटाने की समयरेखा और तैयारी गाइड

अपडेट

  • Bitnami टीम ने community feedback और impact assessment के बाद docker.io/bitnami सार्वजनिक कैटलॉग हटाने की तारीख 29 सितंबर 2024 तक बढ़ा दी है
  • registry हटाने से पहले, ताकि यूज़र्स इस बदलाव को नोटिस कर सकें, brownout (कुछ container images का 24 घंटे के लिए अस्थायी ब्लॉक) 3 बार किया जाएगा
    • 28 अगस्त 08:00 UTC ~ 29 अगस्त 08:00 UTC
    • 2 सितंबर 08:00 UTC ~ 3 सितंबर 08:00 UTC
    • 17 सितंबर 08:00 UTC ~ 18 सितंबर 08:00 UTC
  • हर brownout में प्रभावित images की घोषणा उसी दिन की जाएगी
  • 28 अगस्त से Bitnami container images और Helm chart को Docker Hub पर नए format (OCI) में आगे वितरित नहीं करेगा
  • containers और Helm chart का source code GitHub पर Apache 2.0 license के तहत उपलब्ध रहेगा

क्या बदल रहा है

  • 28 अगस्त से Bitnami मौजूदा OCI registry (charts और images) को Bitnami Legacy में ले जाएगा, और उसके बाद सुरक्षा-सुदृढ़ नए images पर स्विच करेगा

  • अगर आप मौजूदा images का उपयोग कर रहे हैं, तो automation pipelines, internal mirrors और Kubernetes clusters में image pull paths को नई location पर बदलना होगा

  • यूज़र्स के लिए उपलब्ध विकल्प

    1. Bitnami Secure Images(BSI) पर माइग्रेट करें
    2. Bitnami Legacy Registry पर माइग्रेट करें (अस्थायी)
  • सिस्टम की निरंतरता और functionality बनाए रखने के लिए Bitnami Secure Images(BSI) पर माइग्रेट करने की सिफारिश की जाती है

  • BSI इस्तेमाल करने पर hardened images के माध्यम से security और compliance readiness बेहतर होती है

Bitnami Secure Images(BSI) पर माइग्रेशन

  • कुछ BSI images development और testing के लिए मुफ़्त हैं, लेकिन पूरा catalog, stable tags, और long-term support versions जैसी सुविधाएँ paid subscription के साथ उपलब्ध हैं
  • BSI subscribers को आगे भी पूरा Bitnami Debian-based image catalog और updates मिलते रहेंगे
  • और अधिक सुदृढ़ Photon Linux-based images में upgrade और migration की सिफारिश की जाती है
    • ये मौजूदा Debian images के साथ compatible हैं और Helm charts भी उसी तरह इस्तेमाल किए जा सकते हैं
  • Photon-based images के मुख्य फ़ायदे
    • CVE की संख्या में भारी कमी (100+ से 0 तक के उदाहरण)
    • VEX diagnostics support और KEV/EPSS score integration से vulnerability management आसान
    • मजबूत reporting और metadata features वाला self-service UI/API
    • attack surface को 83% तक घटाने वाले distroless charts सहित advanced Helm chart support
    • SLSA 3 compliant software factory में built image customization संभव
    • customer-dedicated private security OCI registry उपलब्ध (Docker Hub की तरह public/rate limit से प्रभावित नहीं)
    • 90 से अधिक OVA format VM images उपलब्ध
    • packaging और installation से जुड़ा enterprise support

Bitnami Legacy Registry पर माइग्रेशन

  • अस्थायी उपाय के रूप में मौजूदा Bitnami users के लिए Bitnami Legacy Registry उपलब्ध कराया जाएगा
    • यह unsupported archived-format images देता है (जैसे security patches लागू नहीं होंगे)
    • long-term availability की कोई योजना नहीं है: तेज़ी से vulnerabilities जमा होने और obsolete होने का जोखिम है
    • अगर इसे अस्थायी रूप से इस्तेमाल करना हो, तो ज़रूरी images को अलग अपने registry में कॉपी करने की सिफारिश है
    • मूल रूप से नए security-hardened सिस्टम (BSI) पर जल्द माइग्रेट करना आवश्यक है

open source supply chain security और compliance बदलाव की ज़रूरत

  • हाल के open source ecosystem बदलाव और malicious packages में तेज़ बढ़ोतरी (2019~2023 के बीच Sonatype के अनुसार 245,000 से अधिक मामले) इसके प्रमुख कारण हैं
    • यह उससे पहले की पूरी अवधि के कुल मामलों से लगभग 2 गुना है
  • AI/model ecosystem के बढ़ने के साथ open source का उपयोग भी बहुत बढ़ा है → attack surface और risk दोनों बढ़े हैं
  • Cyber Resilience Act(EU) जैसे regulations के कारण open source software की origin और integrity के बारे में proof की ज़िम्मेदारी बढ़ रही है
  • Bitnami Secure Images अपनाने से संस्थाओं को supply chain security और compliance हासिल करने के लिए आसान ढाँचा मिलता है
    • कम TCO (total cost of ownership) के साथ security और regulatory cost burden घटाया जा सकता है
    • अधिक जटिल हो चुके open source software environment को मज़बूती से manage करने की नींव मिलती है

Bitnami बदलाव पर प्रतिस्पर्धियों के दावे

  • कुछ प्रतिस्पर्धी यह गलतफ़हमी फैला रहे हैं कि Bitnami "free public images और Helm charts हटा रहा है"
    • वास्तव में Helm charts अब भी Apache 2 license के तहत GitHub पर सार्वजनिक रहेंगे
    • इस बदलाव का केंद्र OCI artifacts (built images) हैं
    • बड़े पैमाने के build/deploy pipelines और registry संचालन की लागत बहुत अधिक होती है, इसलिए इन्हें बहुत कम लागत पर उपलब्ध कराना संभव नहीं है
    • Helm chart source (Debian images सहित) तक कोई भी मुफ़्त पहुँच सकता है
  • जिन enterprises को सीधे OCI built images चाहिए, उन्हें BSI subscription के ज़रिए support लेना होगा; यह बेहतर security और रणनीतिक OSS उपयोग सुनिश्चित करने का एक तरीका है

28 अगस्त के बाद वास्तविक माइग्रेशन कैसे होगा

  • 28 अगस्त से Bitnami repo images को चरणबद्ध तरीके से साफ़ करना शुरू करेगा; सभी बदलाव एक साथ नहीं होंगे
  • कई हफ्तों में धीरे-धीरे image deletion/migration होगा → इसका उद्देश्य user confusion कम करना है
    • 84TB के बड़े OCI content को संभालने के कारण कौन-सी image कब हटेगी, यह पहले से निश्चित नहीं है
    • 28 अगस्त से business-critical functions के लिए आवश्यक images हेतु alternative registry तैयार रखना होगा
  • नए Bitnami registry में hardened Photon images को पुराने Debian images के उसी नाम से अपलोड किया जाएगा
  • मौजूदा और नए, दोनों तरह के यूज़र्स security-hardened images के ज़रिए आधुनिक open source environment की आवश्यकताओं के अनुरूप काम कर सकेंगे
  • Bitnami FAQ में migration की विस्तृत जानकारी देखी जा सकती है

2 टिप्पणियां

 
jic5760 2025-08-31

कम्युनिटी में Bitnami को जारी रखने के लिए मैंने कल Bitmoa बनाया।
लक्ष्य यह है कि न्यूनतम बदलाव (लगभग ENV स्तर) के साथ bitnami image को replace किया जा सके।

https://github.com/bitmoa/containers (GH action से image build)
https://github.com/bitmoa/charts

 
GN⁺ 2025-08-30
Hacker News की राय
  • सिर्फ open source software को ‘package’ करते हुए खुद कोई योगदान न करना और फिर Oracle-style में commercial होने का सोचना थोड़ा चौंकाने वाला है, हालांकि उनके काम को कमतर दिखाने का इरादा नहीं है, लेकिन वे असल में किस हिस्से पर copyright दावा कर सकते हैं यह सवाल है, ज़्यादातर package तो बस कुछ लाइनों की recipe होते हैं, और यह लगभग make build जैसी command line पर copyright लगाने जैसा लगता है, और अगर बने हुए binaries का distribution open source license के तहत है तो user के पास source code, build method और redistribution rights सब होने चाहिए
    • Bitnami द्वारा बनाए गए Makefile वगैरह में काफ़ी मेहनत लगी है, और अलग-अलग software को सिर्फ environment variables से इस्तेमाल करने लायक बनाना बिल्कुल आसान काम नहीं है, उदाहरण लिंक देखना ठीक रहेगा, अभी कुछ user segments के लिए commercial license काफ़ी value रखता है
    • असली ज़्यादा महत्वपूर्ण value शायद Helm charts में है, लेकिन official images पहले से alternatives के रूप में मौजूद हैं, इसलिए खास तौर पर Bitnami के Node या Postgres images ही इस्तेमाल करने की कोई ठोस वजह नहीं है, इसलिए ज़्यादातर लोगों ने वास्तव में Bitnami के Helm charts कितने इस्तेमाल किए यह सवाल है
  • Bitnami के hardened images goodwill का संकेत थे, और जहाँ सच में ज़रूरत थी वहाँ पहला कदम रखने में मदद करते थे, लेकिन बाज़ार में बेहतर options के साथ वे टिक नहीं पाए, यह ‘subscription’ बदलाव समाधान कम और ज़बरदस्ती जैसा ज़्यादा लगता है, कुछ वैसा ही जैसा Terraform Cloud ने किया था, और वहाँ भी हालात आजकल अच्छे नहीं दिखते, Bitnami का योगदान असल में थोड़े बहुत config options जोड़ने भर का है, इसलिए OperatorFramework capability के हिसाब से यह मुश्किल से level 2 या 1 के आसपास है संदर्भ लिंक
    • Bitnami ने जो पहले free में दिया और अब बंद कर दिया, उसे इस तरह कहना कि user को replacement ढूँढना पड़ रहा है इसलिए यह ‘ज़बरदस्ती’ है, मुझे कुछ ज़्यादा लगता है, उन्होंने free में दिया वही भी शुक्रगुज़ार होने लायक बात है
    • जो चीज़ पहले free में मिल रही थी उसे अब न देना ‘ज़बरदस्ती’ कहना बहुत अतिशयोक्ति है, अब बस यह अफ़सोस है कि कुछ काम खुद करना पड़ेगा
    • लगता है Broadcom किस तरह की company है इसे लेकर कुछ भ्रम है, Broadcom ऐसी company है जिसे ‘long-term health’ से मतलब नहीं है, product खरीदते ही 90% staff हटा देना, license और support cost को 2~100 गुना बढ़ा देना इसकी शैली है, Fortune 500 कंपनियाँ आसानी से निकल नहीं पातीं इस बात का फायदा उठाकर यह 5 साल तक के contracts में लगातार पैसा निकालती है, market backlash की परवाह नहीं करती और कानूनी लड़ाई हो जाए तब भी आख़िर में price hike का असर बचा ही रहता है, यही इसकी strategy है
    • 2025 में infra company के रूप में पहले developers में लोकप्रियता बनाकर फिर उसे revenue में बदलने वाली strategy नहीं चलती, शुरुआत से ही revenue बनाना पड़ता है, और आख़िर में target सिर्फ enterprise market ही रहता है, सब उसी छोटे market को पकड़ने की दौड़ में हैं
    • उन्होंने जो value जोड़ी वह बहुत छोटी है, लेकिन अब उसी को replace करना भी मुश्किल पड़ रहा है, तो इससे जूझ रहे users क्या झेल रहे हैं इस पर सोचना चाहिए
  • आख़िरकार यह CSR की वजह से भी है, और CSR की वजह से यह बदलाव संभव भी है, EU Cyber Residence Act regulation के कारण open source ecosystem में बड़ा बदलाव आ सकता है, अब जो companies open source आधारित products को commercial रूप में देती हैं उन्हें security और documentation rules का सख़्ती से पालन करना होगा, pure open source projects पर यह लागू नहीं होगा, लेकिन अगर पैसे लेकर distribute किया जाए तो कानूनी ज़िम्मेदारी आती है, नतीजतन compliance framework को service के रूप में बेचना एक नया अवसर लगता है
    • CSR का मतलब यह नहीं कि सिर्फ paid security images ही देना ज़रूरी है, चाहें तो free में भी दे सकते हैं, या सिर्फ commercial use के लिए paid कर सकते हैं
    • अगर commercial रूप में open source plus services बेची जा रही हैं, तो CSR के अनुरूप compliance work अनिवार्य है, आख़िरकार open हो या commercial, मेहनत तो लगभग वही लगेगी
  • अगर alternative चाहिए तो Twistlock टीम ने Minimus launch किया है, यह source से सीधे build करता है और लगभग बिना vulnerabilities वाले images लगातार उपलब्ध कराता है, Bitnami की तरह drop-in replacement भी देता है, इस्तेमाल, tools या customer cases को लेकर कोई सवाल हो तो कभी भी पूछें, तुलना और गाइड पोस्ट देखें
    • Minimus का signup form “individual” और “organization” को अलग करता है, लेकिन company name भरना अनिवार्य होना अजीब है, यह सिर्फ marketing purpose जैसा लगता है
    • ब्लॉग में Minimus और Bitnami Secure Images की तुलना को थोड़ा और आसान तरीके से समझाया जा सकता है: Bitnami Secure Images, Photon आधारित build होते हैं, और vulnerability या नई version release आते ही अपने-आप build, test और deploy हो जाते हैं, इसलिए user को सिर्फ latest version इस्तेमाल करना होता है, CVE monitoring या manual patching की चिंता नहीं रहती
    • सबसे बड़ा मुद्दा price है, Chainguard या Docker secure images की कीमत सुनकर भी रुचि खत्म हो गई थी, Minimus की pricing website पर कहीं नहीं दिखती, तो शक होता है कि शायद यह इतनी महंगी होगी कि ज़्यादातर लोग इस्तेमाल ही न कर सकें
    • क्या Minimus एक OS है? Bitnami अब भी open source project के रूप में source से सीधे images build करने देता है
    • अच्छा होगा अगर Minimus अपनी तरफ़ से docker-credential helper implement करे, Chainguard के docker-credential-cgr को reference बनाकर, सिर्फ यह कहकर बात खत्म न करे कि “docker credential store support करता है, आप खुद देख लें” रेफ़रेंस
  • license cost देखकर लगता है कि सालाना $50,000 से ऊपर है, इसलिए यह मेरा target market नहीं है
    • official explanation में लिखा है कि ‘BSI open source security और compliance को democratize करता है’, लेकिन $50,000 किसी भी तरह ‘democratize’ करने वाली कीमत नहीं लगती
    • terminology थोड़ी confusing है, लेकिन असल में पहले free में दिए जा रहे अलग-अलग images को paid में बदला जा रहा है, Docker file अब भी मिल सकती है और Docker Hub image भी इस्तेमाल की जा सकती है, लेकिन free offering ‘development use’ के लिए है (production purpose पर सीमाएँ हैं), जबकि असली ‘secure’ images Photon OS पर build होते हैं और security process से भी गुजरते हैं, उनकी service के बाहर किसी चीज़ को रोका नहीं गया है
    • पुराने user base को updates के बिना छोड़कर revenue बनाना सबसे आसान strategy है, इसमें थोड़ा हास्यास्पद पहलू भी है
  • लगभग 2 साल पहले enterprise में Bitnami से migrate करने की सलाह दी थी, और अब लगता है कि वह project शायद अभी-अभी पूरा होने वाला होगा, तो सही अनुमान लगाने की संतुष्टि है
  • VMware licensing changes के साथ Broadcom साफ़ तौर पर Oracle की जगह लेने की कोशिश करता दिखता है, आजकल competition का इस तरह और आक्रामक होना अफ़सोसजनक है
    • Broadcom Spring ecosystem को कैसे monetize करेगा यह देखने की ‘उत्सुकता’ है, practically सारी बड़ी कंपनियाँ Spring इस्तेमाल करती हैं, इसलिए लगता है कि यह जल्दी या देर से होना ही है
    • Broadcom असल में Avago Technologies है जिसने 2015~2016 में सिर्फ नाम खरीदकर इस्तेमाल करना शुरू किया, असली Broadcom का domain और IP तो काफ़ी हद तक पहले ही बिक चुका था
    • Broadcom कितना ‘निर्दयी’ हो सकता है यह जान लें तो यह मुद्दा भी शायद छोटा लगे, फिर भी अभी के लिए users को इससे कुछ फ़ायदा भी मिल सकता है
    • लगता है Bitnami के काफ़ी engineers इस तरह के फ़ैसले से पूरी तरह सहमत नहीं होंगे
    • जब तक Microsoft मौजूद है, Broadcom और Oracle जैसे players ‘बुराई की रैंकिंग’ में दूसरे स्थान के लिए लड़ते रहेंगे
  • software projects आख़िरकार दो ही तरह के code से बने होते हैं: (1) वह code जिसे आप खुद maintain करते हैं या maintain करवाने के लिए पैसे देते हैं, (2) ऐसा junk code जिसे किसी दिन किसी incompatible version से बदलना ही पड़ेगा, सिर्फ junk code को जोड़कर काम चलाना भी काफ़ी समझदार दाँव हो सकता है, लेकिन अगर dependencies का source third party है तो कभी यह उम्मीद नहीं करनी चाहिए कि वे उसे हमेशा maintain करेंगे, सच्चा risk management यही है कि project lifecycle dependency से छोटा भी हो सकता है
  • अफ़सोस की बात है कि Broadcom mobile padding जैसा मामूली काम भी ठीक से नहीं कर पाता, वैसे अगर docker.io/bsi अलग बना देते और /bitnami को पुराने version के रूप में छोड़ देते, तो कुछ टूटता नहीं और users अपनी मर्ज़ी से migrate कर सकते थे, साथ ही upgrade न होने की वजह भी स्वाभाविक रूप से समझाई जा सकती थी
    • अगर Bitnami free security updates बंद करने वाला था, तो users से स्पष्ट रूप से risk acceptance लेना चाहिए था, और काफ़ी advance notice के बाद /bitnami को /bitnamilegacy में ले जाना भी ठीक तरीका होता
    • “bitnami” नाम में खुद brand value है, इसलिए नई service बेचते समय भी यही naming बनाए रखना business के लिहाज़ से सही फ़ैसला है
    • Broadcom की padding problem कुछ वैसी ही लगती है जैसे Rally का UI design बहुत पुराना हो चुका है
  • Bitnami की image और package conventions समझ से बाहर हैं, असल में इस्तेमाल करो तो बहुत जटिल लगते हैं और custom rules झंझट पैदा करते हैं, कोई simple standard base package नहीं बल्कि अजीब structure होता है, और कुछ बदलने जाओ तो पूरा chaos महसूस होता है
    • उनके अपने नियम इतने ज़्यादा हैं और ऊपर से complex scripts चढ़ी हुई हैं कि हर image के लिए अलग documentation पढ़नी पड़ती है, official docs से भी मेल नहीं खाता इसलिए और frustrating लगता है
    • एक समय rootless base images आसानी से पाने के लिए Bitnami images इस्तेमाल करता था, क्योंकि पहले official repos में postgres जैसी चीज़ों को rootless setup में चलाना आसान नहीं था, लेकिन Bitnami की हर image में uid या config path अलग हो जाते थे, इसलिए हर बार Dockerfile खोलकर पढ़ना पड़ता था
    • Bitnami पहले Windows पर Wordpress चलाने के लिए काफ़ी लोकप्रिय था, क्योंकि यह Windows Server पर सीधे इस्तेमाल लायक बनाकर देता था, उस समय यह उपयोगी service थी, आज शायद ऐसा काम करने पर नौकरी चली जाए, लेकिन तब Linux का प्रसार इतना नहीं हुआ था
    • जानना चाहूँगा कि क्या ऐसी packaging conventions को समझने के लिए कोई अच्छा resource है, क्योंकि आम तौर पर लोग project की official image को base बनाकर अपनी custom image खुद बनाते हैं, यही ज़्यादा सामान्य practice लगती है