Bitnami는 왜 이럴까? 여러분이 좋아하는 사전 패키지된 오픈소스 소프트웨어 카탈로그에 대한 오해 풀기

Source: VMware Blog

위에 있는 소스 링크 아래에 번역하고 싶은 본문을 제공해 주시면, 해당 내용을 한국어로 번역해 드리겠습니다.

Source: …

Bitnami의 대활동: 실제 상황은?

Bitnami는 올해가 대활동이었습니다. 이번 봄에 18주년을 맞이했을 뿐만 아니라, 오픈‑소스 카탈로그가 정리되고 새로운 상용 제품이 출시되었습니다. 예상대로, 이러한 활발한 움직임은 혼란을 일으켰고, 몇몇 경쟁업체는 두려움, 불확실성, 의심을 조장하려 했습니다.

아래는 유일한 오픈‑소스 카탈로그와 관련 상용 제품에 대해 Bitnami 사용자와 고객이 실제 상황을 이해할 수 있도록 명확하고 사실에 기반한 정리입니다.

“내 몰락에 대한 소문은 크게 과장되었습니다!” – (마크 트웨인에게 경의를 표하며)

현실

• Bitnami는 여전히 오픈 소스이며 무료입니다.
  카탈로그는 여전히 공개되어 있으며, 모든 자산의 소스 코드는 GitHub에 호스팅됩니다.

• 상용 벤더들은 여전히 Bitnami의 오픈‑소스 작업에 의존합니다.
  많은 기업이 Bitnami의 오픈‑소스 이미지와 차트를 자체 솔루션의 일부로 패키징합니다.

• 견고한 엔지니어링 유산.
  18년의 역사 동안 Bitnami 엔지니어링 팀은 110개가 넘는 최고 수준의 Helm 차트를 만들었습니다.

• 모든 소스 코드는 여전히 접근 가능합니다.

  • Debian 기반 container images:
  • Helm charts:

• 공개된 소스를 이용해 직접 이미지와 차트를 빌드할 수 있습니다.

정보에 밝게, 자신감을 가지고, Bitnami와 함께 계속 구축해 나가세요.

Bitnami의 Docker Hub 레지스트리는 여전히 이용 가능

• 새로운 강화 이미지 – 커뮤니티에 이전에 제공되지 않았던 40개의 강화된 OCI 이미지를 추가했습니다.
• 감소된 CVE – 평균 > 100개의 CVE를 보던 커뮤니티가 이제는 이 강화된 빌드 덕분에 거의 0에 가까운 CVE만 확인됩니다.

변경 사항

• 예시: Docker Hub의 **Bitnami MariaDB 이미지**가 이제 최신 강화 버전을 제공하며 패치 업데이트를 계속 받습니다.
• 보안 세부 정보는 **공개 카탈로그 인터페이스**에서 확인할 수 있습니다.

가용성

• 40개의 강화 이미지가 Docker Hub에서 무료로 제공됩니다.

  • 참고: 이 이미지들은 각 업데이트마다 덮어쓰여지며 최신 태그만 지원합니다. 개발 및 테스트에는 적합하지만 구독 없이 프로덕션 용도로는 권장되지 않습니다.

• 엔터프라이즈 구독 – 40개 이상의 이미지가 필요한 팀을 위해 **상업용 Bitnami 구독**은 > 280개의 강화된 애플리케이션에 접근할 수 있게 합니다.

핵심 요약: 즉각적인 보안 향상을 위해 PhotonOS 기반 이미지로 전환하세요—Helm 차트나 CI/CD 파이프라인을 변경할 필요가 없습니다.

Bitnami의 Helm 차트는 타의 추종을 불허합니다

Bitnami는 수년 동안 자체 Helm 차트를 직접 작성하는 분야에서 선두 주자가 되었습니다. “대체” Bitnami 차트가 급속히 등장하는 것은 의심스러운 일인데, 실제로 그 대체 차트들은 내부적으로 Bitnami 차트입니다. 보안‑우선 설계 원칙과 여러 Kubernetes 배포판에 걸친 지속적인 테스트를 적용해 110개가 넘는 Helm 차트를 처음부터 구축하려면 상당한 시간과 전문성이 필요합니다.

수년 동안 Bitnami는 수많은 GitHub 이슈와 풀 리퀘스트를 받아 차트를 지속적으로 개선해 왔으며, 그 결과 오늘날의 차트가 탄생했습니다. 그래서 일부 벤더들은 Bitnami의 작업을 **“소프트‑포크”**했다고 인정해야 했습니다(예: Chainguard 발표). Bitnami 차트가 자유롭게 제공되지 않았다면 이러한 복제는 불가능했을 것입니다.

진짜 오해는 다른 벤더들이 Bitnami와 동일한 수준의 프로덕션 지원을 제공할 수 있다는 점입니다. 실제로 Bitnami의 오랜 품질, 보안, 커뮤니티 협업에 대한 헌신이 Helm 차트를 독보적으로 신뢰할 수 있게 만듭니다.

모든 패치가 동일하지는 않다

Bitnami의 자동화 기능은 패치를 신속하게 배포할 때 진가를 발휘합니다—수정이 제공된 후 몇 시간 안에 배포되는 경우가 많습니다.

예시

Bitnami의 Python CVE 대응 (2025년 여름) 은 이 속도를 보여줍니다. Bitnami가 새로운 업스트림 버전을 감지하면 자동으로:

1. 빌드 및 검증 파이프라인을 트리거합니다.
2. Helm 차트, 컨테이너 이미지 및 모든 관련 종속성을 업데이트합니다.
3. 모든 것이 의도대로 작동하는지 확인합니다.

Bitnami는 절대 업스트림을 포크하지 않기 때문에, 원본 프로젝트 유지 관리자가 검증한 정품 빌드를 받을 수 있습니다.

“빠른 수정” 포크가 아닌 이유

일부 팀은 공식 패치가 나오기 전에 코드를 수정해 배포합니다(예: JAR 파일 교체). 이는 더 빠르게 보일 수 있지만 다음을 희생합니다:

• 품질 – 코드가 업스트림의 정상적인 검토 과정을 거치지 않습니다.
• 내구성 – 향후 업데이트가 맞춤형 변경을 깨뜨릴 수 있습니다.
• 보안 – 동료 검토와 기존 오픈소스 관리 절차를 우회합니다.

권장되는 업스트림 경로를 벗어나 패치를 적용하면 포크가 생성되어 오픈소스 개발 모범 사례를 훼손합니다.

Bitnami의 접근 방식

• 공식 릴리스를 사용해 소스에서 빌드하여 종속성이 변경되지 않고 운영 일관성이 유지되도록 보장합니다.
• VEX 평가 데이터를 제공해 아직 업스트림에서 해결되지 않은 CVE에 대한 정보를 제공합니다. 이 데이터는 취약점이 애플리케이션에 어떤 영향을 미치는지 설명하여 고객이 위험 프로파일을 신속히 평가할 수 있게 합니다. 자세한 내용은 VEX 평가 문서를 참고하십시오.

Comprehensive SBOMs

Bitnami는 애플리케이션의 소스 코드를 직접 가져와서 소스 URL, 버전, 라이선스 정보를 자동으로 수집합니다. 이러한 정보는 이미지를 단순히 스캔해서는 발견할 수 없습니다. 이를 통해 Bitnami는 소프트웨어에 무엇이 포함되어 있는지 더 깊고 투명하게 파악할 수 있어 감사가 쉬워지고 위험이 감소하며 공급망 보안이 향상됩니다(예: SLSA 정의 공급망 위협).

많은 공급업체가 스캔 도구를 사용해 이미지에서 소프트웨어 자재 명세서(SBOM) 문서를 생성합니다. 스캐너가 어느 정도 가시성을 제공할 수는 있지만, 메타데이터가 없어 패키지에 포함되지 않은 바이너리나 올바른 라이선스를 인식하지 못하는 경우가 많습니다. 결과적으로 사용 중인 소프트웨어 내부에 대한 포괄적인 커버리지를 얻지 못합니다.

Bitnami의 접근 방식:

• 파이프라인의 최초 빌드 단계에서 SBOM을 생성합니다.
• 소스 코드에서 직접 소스 URL, 버전, 라이선스 정보를 캡처합니다.
• 패키지 메타데이터가 없는 구성 요소를 포함한 모든 구성 요소에 대해 완전하고 정확한 가시성을 제공합니다.

Bitnami의 지속적인 엔터프라이즈 매력

오픈 소스를 기반으로 비즈니스를 운영하는 조직에게 Bitnami는 최고의 투명성을 제공하여 보안 위협 및 취약점에 신속하게 대응할 수 있게 합니다. Bitnami는 CVE 패치를 신속히 출시함으로써—때로는 발견 후 몇 시간 이내에—기업이 오픈 소스를 활용하는 방식을 선도하고 있습니다.

우리의 투명한 접근 방식은 조직이 모든 옵션과 각 결정의 영향을 완전히 이해한 상태에서 행동할 수 있도록 보장합니다.

• 280개 이상의 보안 강화 컨테이너 이미지가 포함된 Bitnami 카탈로그를 살펴보세요: Bitnami Catalog
• 무료 체험을 요청하세요: Contact Us