FullStackS Bitnami Impact Assessment

Update (Stand 03.09.2025):

Das endgültige entfernen der Images ist auf den 29. September 2025 verschoben allerdings werden bereits mit dem 28. August keine neuen Images mehr veröffentlicht, also keine Feature und vor allem keine Security Updates mehr. Zusätzlich werden in diesem Monat viele Images für jeweils einen Tag bereits offline genommen um potentielle Kunden in die subscription zu treiben (https://community.broadcom.com/tanzu/blogs/beltran-rueda-borrego/2025/08/18/how-to-prepare-for-the-bitnami-changes-coming-soon)

Was ändert sich?

Bitnami stellt die Art und Weise um, wie Container-Images veröffentlicht und genutzt werden: Anstatt Dutzende immutable, versions-spezifische Docker-Tags in der öffentlichen Bitnami-Registry zu verwalten, werden alle diese Tags in einen schreibgeschützten „Legacy”-Namespace verschoben und dort eingefroren. Ab dem 29. September 2025 bleibt nur noch ein einziges aktuelles Tag für jede Anwendung darin erhalten, welches kontinuierlich aktualisiert wird, anstatt an eine feste Version gebunden zu sein. Diese Umstellung bedeutet, dass jede Kubernetes-Deployment oder jedes Helm-Chart, das explizit auf ein versioniertes Bitnami-Image-Tag verweist (Default in den meisten Helm-Charts), dieses Image nach der Verlagerung nicht mehr abrufen kann, es sei denn, Sie ergreifen Maßnahmen, um diese Assets vor dem Stichtag zu spiegeln oder umzubenennen.

• Versionierte Tags eingefroren: Ab dem 29. September 2025 wird Bitnami alle versionsspezifischen Docker-Tags (z. B. 24.0.5-debian-12-r10) aus der öffentlichen Registry (http://docker.io/bitnami ) entfernen und sie in einen „Legacy”-Namespace (http://docker.io/bitnamilegacy ) verschieben. Diese Images werden eingefroren – es gibt keine weiteren Patches oder Sicherheitsupdates.

• Nur „latest“ bleibt kostenlos: Ein einziges, kontinuierlich aktualisiertes „latest“-Tag bleibt öffentlich zugänglich. Um weiterhin versionierte, mit Sicherheitspatches versehene Images mit SBOM/VEX-Metadaten zu erhalten, müssen Sie entweder Bitnami Secure Images abonnieren oder Ihre eigenen Builds/Mirrors pflegen.

Mögliche Auswirkungen

• Pod-Restarts schlagen fehl: Helm-Charts verwenden standardmäßig festgelegte Versions-Tags. Nach dem Stichtag kann Kubernetes diese Images nicht mehr abrufen, was zu CrashLoopBackOff und Ausfällen des Dienstes führt!

• Verlust der Reproduzierbarkeit: Die Verwendung eines nicht fixierten aktuellen Images beeinträchtigt deterministische Bereitstellungen und erschwert Audits, Rollbacks und die Einhaltung von Vorschriften.

• Sicherheitsrisiko: Ältere Images erhalten keine weiteren CVE-Fixes. Der Betrieb ungepatchter Container in der Produktion setzt Sie vermeidbaren Sicherheitsrisiken aus.

Referenzen:

• https://github.com/bitnami/containers/issues/83267

• https://news.broadcom.com/app-dev/broadcom-introduces-bitnami-secure-images-for-production-ready-containerized-applications

Kontaktieren Sie uns - bevor die Deadline zuschlägt:

Sofortige Handlungsempfehlungen

Das muss bis zum 29. September erledigt werden!

1. Bestandsaufnahme der Cluster

   Überprüfen Sie, ob Sie Bitnami-Images in Ihren Clustern verwenden. Diese könnten auch aus Helm-Charts stammen, die Bitnami-Charts als Abhängigkeiten verwenden. Überprüfen Sie daher jedes Image, das in Ihren Clustern ausgeführt wird!

   
   

2. Spiegeln und fixieren Sie kritische Images

   Ziehen Sie vor dem 29. September Ihre wesentlichen versionierten Tags in eine private Registry und aktualisieren Sie dann Ihre Helm-Charts, um die festgesteckten Images aus Ihrer Registry zu verwenden.

Wie wir Ihnen helfen können

1. Bitnami Impact Check

   Wir bieten eine kompakte Bewertung an, um herauszufinden, ob und wie sich diese Änderung am Docker-Tag auf Ihre Umgebung auswirkt. Das Ziel ist es, einen Überblick darüber zu erhalten, ob sofortige Maßnahmen erforderlich sind, wo dies zutrifft und wie gravierend die kritischen Auswirkungen sein könnten.

   
   

2. Supply Chain Future-Proofing Workshop

   Wir werden Ihnen Best Practices vorstellen, mit denen Sie Ihre Container Supply Chain zukunftssicher machen und zertifizierte, versionierte und gesicherte Enterprise-grade Images von SUSE, RedHat und anderen Anbietern nutzen können – damit Sie auch bei unerwarteten Änderungen der Upstream-Richtlinien widerstandsfähig bleiben.

   
   

   Architectural Blueprint & Best Practices

   • Lassen Sie uns eine sichere, reproduzierbare CI/CD-Pipeline unter Verwendung von OCI-konformen Registries und CNCF-unterstützten Tools definieren.

   • Wir gehen die empfohlenen Best Practices für die SBOM-Generierung, Image-Signierung (Cosign), Vulnerability-Scanning, Image-Signatur-Validierung und Policy-Enforcement durch.

   • Stellen Sie die Versionsbindung sicher und aktivieren Sie Rollback-Verfahren, um deterministische Bereitstellungen und auditfähige Compliance zu gewährleisten.

   • Wir überprüfen Ihre Aktivitäten in der Container-Image-Supply Chain und stellen Ihnen Best Practices für das Image-Management sowie Implementierungsrichtlinien zur Verfügung.

Interessiert an einem individuellen Assessment oder einem Custom Migration Plan?

Interesse geweckt?

Wir sichern Ihre Container-Supply-Chain – noch vor dem 29. September 2025!