開源庫 Bitnami 事件

概覽

Bitnami 是一個長期提供開源應用程式「即用型 Stack」與容器映像（VM、VM 模板、容器 ＆ Helm charts）的專案，自 2000 年代起即活躍。 (Wikipedia)

其後經由 VMware, Inc. (VMware) 收購，再被 Broadcom 併入其 Tanzu 部門，近期其映像與 Helm charts 的公開、免費政策出現重大變化。 (highperformr.ai)

變動對 DevOps／雲原生使用者構成實質影響，多家技術媒體與社群已經提出警示。 (Northflank)

---

歷史沿革

創立與早期發展

• Bitnami 起源於西班牙塞維利亞的 Bitrock 公司，專注於將各種開源應用打包為「一鍵安裝」的 Stack。 (Wikipedia)
• 隨著容器與雲原生興起，Bitnami 除 VM 映像外，也涵蓋 Docker 映像與 Helm charts，成為雲中應用快速部署的常見選擇。 (TechDocs)

VMware 收購

• 2019 年5 月，VMware 宣佈收購 Bitnami 。 (CRN)
• 此後 Bitnami 成為 VMware 多雲／雲原生應用供應鏈中的一環。

Broadcom 併購與整合

• VMware 本身於 2022 年5 月（提出意向）至 2023 年11 月正式成為 Broadcom 的子公司（收購金額約 $69 0 億美元） 。 (SEC)
• Bitnami 因而置於 Broadcom Tanzu 部門之下。 (highperformr.ai)

---

近期變動重點

商業化與訂閱機制推出

• 2024 年12 月10 日，Broadcom 宣佈推出 “Bitnami Premium”商業版本（Enterprise Grade ）—供應企業版容器映像及 Helm charts 。 (GlobeNewswire)
  • 支援 500+ 套件、長期支援版本、任意 pull 權限、軟體供應鏈元資料（SBOM、SLSA 3、CVE 掃描報告）等。 (GlobeNewswire)
• 2025 年7 月17 日，Broadcom Tanzu 部門針對社群版本及映像改動推出「Bitnami Secure Images」(BSI) 方案。 (news.broadcom.com)

免費／社群版本政策變更

• 自 2025 年8 月28 日 起，Bitnami 公開目錄將只保留經過「硬化」（hardened）映像、且免費社群用戶僅能使用 “latest” 標籤。舊版／多標籤映像將移至「遺留（Legacy）庫」且停止維護。 (GitHub)
• 公開 GitHub Issue 中亦清楚列出：
  • 對基於 Debian 系作業系統的非硬化映像，將停止生成新映像。 (GitHub)
  • 所有 舊版或標籤化（versioned tags）映像會移至 docker.io/bitnamilegacy 庫，該庫 不再更新或提供支援。 (GitHub)
  • 免費社群版只為「最新 (latest) 標籤」及有限硬化映像，用作開發用途。生產環境需付費訂閱。 (news.broadcom.com)

生態與反應

• 技術媒體指出，此次變更迫使許多 DevOps/平台團隊重新檢視 CI/CD 流程、映像標籤依賴、回滾支援等影響。 (Northflank)
• 社群論壇（如 Reddit）已有使用者指出：
  
• 部分報導提及：訂閱費用可能高達 US $50 k – 72 k／年。 (Devoriales)

---

詳細架構說明與影響分析

架構變更

項目	說明
主目錄 (Public Catalog)	原 docker.io/bitnami 庫為免費社群／公開映像主來源。變更後將只能保留有限的硬化 映像與 latest 標籤。 (GitHub)
遺留庫 (Legacy Repository)	新設 docker.io/bitnamilegacy。舊版、多標籤、基於 Debian 的映像將轉入此庫，且停止維護、安全補丁與技術支援。 (GitHub)
商業版／硬化版 (Secure Images / Premium)	付費方案，包含硬化映像、長期支援 (LTS)、SBOM、CVE 透明度、企業支援等。無料社群難以取得完整版本。 (news.broadcom.com)

對使用者／生產環境的影響

• 版本鎖定／回滾風險：免費版若僅提供 latest 標籤，使用者無法像以前那樣自由選擇歷史版本（如 postgresql:13.7.0）或回滾至確定穩定版本。 (Northflank)
• 安全維護風險：遺留庫中的映像將不再收到 CVE 修補、作業系統亦可能過時。長期使用有資安風險。 (Linuxiac)
• 成本／採購壓力：若需完整版本支援、長期支援或多版本維運，可能需轉向付費方案，對組織／團隊而言為新的成本項目。 (Devoriales)
• CI/CD 與 Kubernetes 生態鏈調整：映像路徑變更、標籤變動、Helm charts 維護狀態改變，可能導致部署流程、監控、回滾策略需重構。 (Hacker News)

---

建議／遷移考慮

• 建議你立即 盤點目前使用 Bitnami 映像與 Helm charts：檢查你在生產或開發環境中是否依賴非-latest 標籤／版本鎖定的 Bitnami 映像。
• 若依賴版本鎖定或需長期支援，此時應評估下列選項：
  1. 遷移至 Bitnami Secure Images／Premium 方案：若組織能承擔成本、需要企業支援與 LTS。
  2. 轉換至替代映像來源：如使用 官方 Docker 映像、社群映像或自行建構映像，以避免未來依賴被鎖定或停止更新。 (Docker)
  3. 自建與自維護 映像 ＆ Helm charts：由於 Bitnami 的 source 仍為 Apache 2.0 開源可用，組織可根據 GitHub 原始碼自行建構與維護。 (GitHub)
• 若繼續使用免費／社群 tier，需確認所用映像：
  • 是不是列在保留的硬化映像清單內？（建議查 Bitnami 官方公告或 Docker Hub 的 bitnamisecure 命名空間） (GitHub)
  • 是否僅使用 latest 標籤？並評估是否願意承擔回滾不便與版本控制風險。
• 對於法律科技系統、法規知識庫、持續運維風險敏感的應用（例如你正在做的 法律知識庫系統 PRC-Law-KB 等），建議慎重對待容器映像來源與維護政策，避免將來因映像／標籤停更而造成服務中斷或資安漏洞。

---

結語

此次 Bitnami → Broadcom 的 Catalog／映像政策變更，是一個典型的「從免費社群工具轉向企業收費模式」的案例。雖然 企業級安全、硬化、SBOM、CVE 透明度等都是正面目標，但對依賴 Bitnami 社群版的使用者而言，確實帶來了不小的技術風險與成本挑戰。