O Que Está Acontecendo com o Bitnami? Desvendando os Mitos Sobre Seu Catálogo Favorito de Software de Código Aberto Pré-Empacotado

Bitnami: O Catálogo Open Source e Suas Ofertas Comerciais

Este foi um ano significativo para a Bitnami. Além de completar 18 anos nesta primavera, o catálogo open source foi otimizado e uma nova oferta comercial foi lançada. Como era de se esperar, surgiu alguma confusão em meio a toda essa atividade, e muitos concorrentes aproveitaram a oportunidade para fomentar o medo, a incerteza e a dúvida (fear, uncertainty, and doubt - FUD). Apresentamos aqui a realidade para que os usuários e clientes da Bitnami possam entender melhor o que realmente está acontecendo com seu catálogo open source favorito (e único) e suas ofertas comerciais relacionadas!

Bitnami é Open Source

Parafraseando Mark Twain: Os rumores sobre minha morte são bastante exagerados! Ao contrário de algumas manchetes, a Bitnami ainda é open source e está disponível gratuitamente. Não é segredo que muitos fornecedores comerciais utilizam o open source da Bitnami em suas próprias ofertas. A equipe de engenharia da Bitnami desenvolveu mais de 110 Helm charts de excelência ao longo de seus 18 anos de história. Todo o código-fonte para imagens de contêiner baseadas em Debian e Helm charts ainda está disponível no GitHub. Os usuários ainda podem construir imagens e charts a partir desse código-fonte.

O Registry do Docker Hub da Bitnami Ainda Está Disponível

Embora o número de imagens OCI pré-construídas que a equipe da Broadcom mantém no Docker Hub tenha sido reduzido, introduzimos 40 novas imagens hardened (endurecidas/seguras) que nunca estiveram disponíveis para a comunidade. Onde a comunidade estava consumindo mais de 100 CVEs (Vulnerabilidades e Exposições Comuns) em média, agora eles estão vendo quase zero como resultado dessa mudança.

As imagens Debian legadas foram substituídas por algumas de nossas novas imagens hardened e seguras baseadas no PhotonOS. Por exemplo: A listagem do MariaDB da Bitnami no Docker Hub agora fornece a versão hardened mais recente e continua recebendo atualizações de patch. Se você acessar nossa interface de catálogo público, poderá verificar os metadados de segurança (SBOM, VEX, etc.), que antes não estavam disponíveis para a comunidade.

As imagens PhotonOS são substituições drop-in para as imagens Debian e são testadas quanto à compatibilidade com os mesmos Helm charts. Isso significa que os usuários podem aprimorar instantaneamente sua postura de segurança e reduzir o número de CVEs sem ter que reestruturar os processos de CI/CD ou deployment para um novo Helm chart. É simples assim.

Existem cerca de 40 dessas novas imagens hardened disponíveis para desenvolvedores (Nota: elas são sobrescritas a cada atualização e suportamos apenas a mais recente, portanto, embora estejam disponíveis gratuitamente no Docker Hub, provavelmente não é uma boa ideia usá-las em produção). Para usuários corporativos que desejam mais de 40 imagens, a assinatura comercial oferece acesso a mais de 280 aplicativos no mesmo formato hardened.

Os Helm Charts da Bitnami São Incomparáveis

Foram necessários muitos anos para que a Bitnami se tornasse líder na autoria de Helm charts de primeira linha (1st party). Isso torna suspeita a disponibilidade repentina de Helm charts substitutos da Bitnami – o fato é que esses charts substitutos são, na verdade, Bitnami "por baixo do capô". Leva tempo e expertise para construir, do zero, mais de 110 Helm charts, com segurança por design e testes contínuos em múltiplas flavors de Kubernetes.

Ao longo dos anos, a Bitnami recebeu inúmeros issues e PRs no GitHub que aprimoram continuamente os charts para torná-los o que são hoje. É por isso que alguns fornecedores não têm escolha a não ser admitir que fizeram um soft fork da Bitnami (o que significa que a Bitnami deve ser gratuita, caso contrário, como eles a copiariam?). O verdadeiro mito é que outros fornecedores podem fornecer o mesmo suporte de nível de produção que a Bitnami.

Nem Todos os Patches São Iguais

O poder dos recursos de automação da Bitnami realmente se destaca quando se trata de liberar patches rapidamente – muitas vezes poucas horas após a correção estar disponível. Um exemplo é a resposta da equipe da Bitnami a um CVE do Python neste verão. Quando a Bitnami detecta novas versões, ela aciona a construção e a verificação, gerenciando Helm charts e imagens e todas as suas dependências para garantir que tudo esteja funcionando como deveria.

Nós nunca fazemos fork do upstream, então você obtém apenas builds autênticos que foram devidamente examinados pelos mantenedores do projeto. Por exemplo, liberar código modificado (como substituir arquivos JAR) antes que um patch oficial seja lançado tornou-se um atalho popular para corrigir um CVE relatado. Isso pode resolver o problema mais rapidamente, mas sacrifica a qualidade e a durabilidade.

Aplicar patch em um projeto fora do caminho prescrito para o envio de correções cria um fork da base de código e ignora os controles, a revisão por pares (peer review) e as melhores práticas gerais de um projeto open source. Como a Bitnami constrói a partir do código-fonte, usando lançamentos oficiais, as dependências não mudam, permitindo uniformidade operacional. Para aqueles CVEs que não são abordados pelo upstream, a Bitnami fornece dados de avaliação VEX, que explicam como o CVE afetará o aplicativo para que os clientes possam rapidamente triar o perfil de risco da vulnerabilidade.

SBOMs Abrangentes

A Bitnami busca automaticamente o código-fonte diretamente para o aplicativo, a URL de origem, a versão e a licença – informações que não podem ser descobertas apenas escaneando a imagem. Isso significa que a Bitnami pode identificar o que está em seu software com uma visão mais profunda e transparente, facilitando auditorias, reduzindo riscos e melhorando a segurança da cadeia de suprimentos (supply chain security) (uma boa definição para isso é fornecida pela SLSA).

Muitos fornecedores usam ferramentas de escaneamento para gerar documentos de Software Bill of Materials (SBOMs) a partir de uma imagem. Embora os scanners possam fornecer um certo nível de visibilidade, eles frequentemente não reconhecem as licenças ou binários adequados que não fazem parte dos pacotes, pois não há metadados nos quais confiar. Isso significa que você não tem cobertura abrangente do que está dentro do software que está ingerindo. A Bitnami, por outro lado, constrói os SBOMs desde as primeiras etapas do build no pipeline.

O Apelo Duradouro da Bitnami para Empresas

Para organizações que executam seus negócios em open source, a Bitnami é a opção que oferece mais transparência, permitindo que respondam rapidamente a falhas e vulnerabilidades de segurança. A Bitnami continua a ser pioneira na forma como as empresas usam open source com lançamentos rápidos de correções de CVEs, às vezes em horas após a disponibilidade. Nossa abordagem transparente garante que as organizações possam agir com pleno conhecimento de suas escolhas e das implicações que se seguem. Para ver como funciona, confira hoje mesmo o catálogo da Bitnami com mais de 280 imagens de contêiner seguras e hardened, e entre em contato conosco para um teste gratuito.